Slickwraps dice que la confianza del cliente fue "violada" en la violación de datos causada por evidentes agujeros de seguridad



Slickwraps ha revelado una violación de datos que afecta a más de 850,000 cuentas de usuarios, admitiendo su error al permitir que los registros de los clientes se hagan públicos. Slickwraps es una tienda en línea que ofrece máscaras para una variedad de teléfonos inteligentes, tabletas, consolas de juegos y computadoras portátiles. La semana pasada, la compañía dijo en una publicación de blog que el 21 de febrero, Slickwraps descubrió que los registros de los clientes estaban disponibles y "se hicieron públicos por error a través de un exploit". Las bases de datos de Slickwraps no estaban protegidas adecuadamente, lo que condujo a la exposición de información del cliente, incluidos nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono e historiales de compras. Los clientes que se registraron como invitados no estuvieron involucrados en la violación de datos, ni tampoco hubo datos financieros o contraseñas de cuentas de texto sin cifrar. "No hay nada que valoremos más que la confianza de nuestros usuarios. De hecho, todo nuestro modelo de negocio depende de generar confianza a largo plazo con los clientes que siguen regresando", dijo Jonathan Endicott, CEO de Slickwraps. "Cometimos un error en violación de esa confianza". Ver también: este es el impacto de una violación de datos en los precios de las acciones empresariales El 21 de febrero, un "atacante envió un correo electrónico a los clientes conectados a la violación", dice la compañía. Una captura de pantalla del correo electrónico, publicado en Twitter, incluía una parte de los datos del usuario e instó a los clientes a enviar un correo electrónico a la empresa directamente por la filtración de su información. Slickwraps fue informado de la violación a través de una publicación en Twitter. Troy Hunt, experto en ciberseguridad y propietario de Have I Been Pwned, fue contactado para verificar los reclamos del usuario y alertaron al FBI. Luego se cerraron los servidores vulnerables y se repararon los exploits. Sin embargo, una persona que notificó a Slickwraps sobre sus problemas de ciberseguridad también es de interés. Como señaló Slashgear, la persona se llamaba Lynx0x00. Una publicación de blog de Medium, ahora eliminada pero disponible en archivos de Internet, documenta cómo la "ciberseguridad abismal" de Slickwraps permitió a cualquiera subir un archivo a la raíz, lo que provocó ataques de ejecución remota de código (RCE) y la capacidad de ejecutar comandos de shell. Un solo archivo upload.php tuvo la culpa, según el informe de prueba de penetración de Lynx0x00. CNET: fraude de intercambio de SIM: qué es, por qué debería importarle y cómo protegerse Junto con la información del cliente, Lynx0x00 dijo que las credenciales de API también se pusieron a disposición y pudieron hacerse dueños de la plataforma Slickwraps ZenDesk y el CMS de back-end. Lynx0x00 afirma que se hicieron múltiples intentos para abrir una línea de comunicación con Slickwraps, de los cuales se ignoraron las advertencias y el individuo fue bloqueado en las redes sociales, lo que llevó a que la investigación se hiciera pública. No se sabe por qué la publicación del blog se eliminó más tarde. Los datos expuestos se han agregado a Have I Been Pwned, un motor de búsqueda que se puede usar para ver si su información ha estado involucrada en una violación de datos. En total, se comprometieron 857,611 cuentas de clientes. TechRepublic: la brecha de MGM Hotel destaca la necesidad de una sofisticada seguridad en la nube "Lamentamos profundamente este descuido", dice Endicott. "Prometemos aprender de este error y haremos mejoras en el futuro. Esto incluirá mejorar nuestros procesos de seguridad, mejorar la comunicación de las pautas de seguridad a todos los empleados de Slickwraps y hacer que nuestras funciones de seguridad solicitadas por los usuarios sean nuestra principal prioridad en los próximos meses. ". También se ha contratado una empresa externa de ciberseguridad para realizar una auditoría de los procesos de seguridad existentes. pag VER GALERÍA COMPLETA ¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı