连骇客都生气!国外企业不理会网站漏洞提醒 骇客获悉干脆寄信警告消费者
▲包膜设计网站Slickwraps数度忽略来自安全研究人员的漏洞警告。(图/取自免费图库Pixabay)
知名包膜设计公司Slickwraps的客户日前发生用户个资泄漏事件,该名骇进Slickwraps资料库的骇客向该公司超过37万名用户发送电子邮件,以此来警告消费者Slickwraps的安全性很差。
Slickwraps是一家提供客制化包膜服务的公司,用户可自行将设计好的图像上传该公司网站并印制。不过近日一名研究人员Lynx发现其网站的安全性漏洞,他多次向Slickwraps反映却都无疾而终,最后他在部落格发布平台Medium上讲述整个过程并详述应如何骇进Slickwraps系统,整起个资泄漏事件因此曝光。
而近日,一名骇客向Slickwraps的消费者发送电子邮件,称他们已拥有消费者们的帐号资讯,包括消费者的姓名、地址及电话号码,并引用了Lynx的Medium文章(目前该原始文章已遭删除,备份在此)。该信件指出他们并无恶意,只是要呼吁消费者向Slickwraps反映现状。
Lynx在部落格中指出,他于今年初发现Slickwraps网站上的重大漏洞,该漏洞使其能看到所有Slickwraps管理员帐号的详细讯息,所有Slickwraps当前及历史的客户帐单地址、送货地址、电子邮件、电话号码、交易纪录等,甚至还有Slickwraps公司的财务状况。
Lynx开始透过推特及电子邮件向Slickwraps反映这个问题,但都遭忽略,甚至发现该公司开始从后台掩盖数据遭泄露的足迹,重设密码、更改API密钥,但却仍一直不回应Lynx的讯息。Lynx在部落格中写道:「在撰写本文时,我仍然无法理解为何Slickwraps不简单地与我交流来了解漏洞所在的原因。」整个过程持续了近3日之久,Slickwraps甚至封锁了Lynx的推特帐号。
最后忍无可忍的Lynx才在Medium上发布了文章,猜测某位骇客在阅读了该则文章后,以同样的手法取得Slickwraps消费者资讯,并向Slickwraps用户发送的上述的电子邮件。
对此,Slickwraps发布声明表示,该漏洞并未泄漏消费者的密码或个人财务资讯,但确实包含了姓名、电子邮件及地址等其他资讯。「对于这一疏忽,我们深表歉意。我们承诺将从错误中汲取教训,并不断改进。包括增强我们的安全流程,改善与所有Slickwraps员工的安全准则沟通,以及在接下来的几个月中将更多用户要求的安全功能作为我们的首要任务。我们还与第三方网络安全公司合作,以审核和改进我们的安全协议。」