▲包膜設計網站Slickwraps數度忽略來自安全研究人員的漏洞警告。(圖/取自免費圖庫Pixabay)
記者王曉敏/綜合報導
知名包膜設計公司Slickwraps的客戶日前發生用戶個資洩漏事件,該名駭進Slickwraps資料庫的駭客向該公司超過37萬名用戶發送電子郵件,以此來警告消費者Slickwraps的安全性很差。
Slickwraps是一家提供客製化包膜服務的公司,用戶可自行將設計好的圖像上傳該公司網站並印製。不過近日一名研究人員Lynx發現其網站的安全性漏洞,他多次向Slickwraps反映卻都無疾而終,最後他在部落格發布平台Medium上講述整個過程並詳述應如何駭進Slickwraps系統,整起個資洩漏事件因此曝光。
而近日,一名駭客向Slickwraps的消費者發送電子郵件,稱他們已擁有消費者們的帳號資訊,包括消費者的姓名、地址及電話號碼,並引用了Lynx的Medium文章(目前該原始文章已遭刪除,備份在此)。該信件指出他們並無惡意,只是要呼籲消費者向Slickwraps反映現狀。
Lynx在部落格中指出,他於今年初發現Slickwraps網站上的重大漏洞,該漏洞使其能看到所有Slickwraps管理員帳號的詳細訊息,所有Slickwraps當前及歷史的客戶帳單地址、送貨地址、電子郵件、電話號碼、交易紀錄等,甚至還有Slickwraps公司的財務狀況。
Lynx開始透過推特及電子郵件向Slickwraps反映這個問題,但都遭忽略,甚至發現該公司開始從後台掩蓋數據遭洩露的足跡,重設密碼、更改API密鑰,但卻仍一直不回應Lynx的訊息。Lynx在部落格中寫道:「在撰寫本文時,我仍然無法理解為何Slickwraps不簡單地與我交流來了解漏洞所在的原因。」整個過程持續了近3日之久,Slickwraps甚至封鎖了Lynx的推特帳號。
最後忍無可忍的Lynx才在Medium上發布了文章,猜測某位駭客在閱讀了該則文章後,以同樣的手法取得Slickwraps消費者資訊,並向Slickwraps用戶發送的上述的電子郵件。
對此,Slickwraps發布聲明表示,該漏洞並未洩漏消費者的密碼或個人財務資訊,但確實包含了姓名、電子郵件及地址等其他資訊。「對於這一疏忽,我們深表歉意。我們承諾將從錯誤中汲取教訓,並不斷改進。包括增強我們的安全流程,改善與所有Slickwraps員工的安全準則溝通,以及在接下來的幾個月中將更多用戶要求的安全功能作為我們的首要任務。我們還與第三方網絡安全公司合作,以審核和改進我們的安全協議。」
讀者迴響