Slickwraps, une entreprise qui fabrique des skins en vinyle pour appareils populaires, a révélé que son site Web avait été compromis et que les données personnelles de ses clients avaient été exposées. La société a tweeté qu'une "partie non autorisée" avait accédé à sa base de données, violant des informations telles que les noms des clients, les identifiants de messagerie et les adresses, bien que les mots de passe et les informations de carte de crédit n'aient pas été affectés. Le piratage a été découvert par un chercheur en sécurité du nom de Lynx, qui a partagé un article moyen déclarant qu'il avait pu accéder au serveur Slickwraps en janvier en utilisant une vulnérabilité dans la section de téléchargement d'images. site Web de skin personnalisé.
viol
Dans son article, Lynx a mentionné que non seulement il avait accès aux détails de l'administrateur, aux adresses de facturation et de livraison des clients, aux numéros de téléphone, aux photos des clients, mais qu'il avait également accès aux détails internes, y compris les CV des employés, le système de billetterie, ZenDesk, les informations d'identification de l'API et même les comptes de réseaux sociaux. Le chercheur s'est rendu sur Twitter pour informer Slickwraps des vulnérabilités ; Cependant, l’équipe d’assistance de l’entreprise a semblé ignorer ses affirmations. Bien que tous ses tweets et le message moyen soient désormais supprimés, Lynx a mentionné que puisque la vulnérabilité n'est pas encore corrigée, d'autres pirates peuvent accéder aux données. Au lieu d'agir sur la base de ses informations, Lynx a été bloquée sur Twitter par l'équipe des médias sociaux de Slickwraps. Après la divulgation, les pirates ont finalement réussi à récupérer les données et ont envoyé un e-mail à plus de 377,000 21 clients en utilisant l'identifiant d'assistance officiel de Slickwraps pour les informer de la compromission. Pour le moment, aucune utilisation malveillante de données personnelles n’a été signalée. Slickwraps a publié une déclaration acceptant la violation et s'est excusé auprès des clients en promettant d'améliorer son processus de sécurité. La société a également annoncé qu'elle s'associerait avec une société de cybersécurité tierce pour un audit de sécurité et mettrait en œuvre ses suggestions pour améliorer les protocoles de sécurité. La déclaration officielle de Slickwraps se lit comme suit : "Il n'y a rien que nous apprécions plus que la confiance de nos utilisateurs. Nous vous contactons parce que nous avons commis une erreur en violant cette confiance. Le XNUMX février, nous avons découvert que les informations contenues dans certains de nos non -Les bases de données de production avaient été rendues publiques par erreur grâce à un exploit. Pendant ce temps, une partie non autorisée a accédé aux bases de données. Les informations ne contenaient pas de mots de passe ni de données financières personnelles. Les informations contenaient des noms, des e-mails d'utilisateurs, des adresses. " Via : AndroidPolice