Slickwraps, sebuah perusahaan yang membuat kulit vinil untuk gadget populer, telah mengungkapkan bahwa situs webnya disusupi, dan detail pribadi pelanggannya terungkap.
Perusahaan men-tweet bahwa “pihak yang tidak berwenang” telah memperoleh akses ke database-nya, melanggar detail termasuk nama pelanggan, id email dan alamat, meskipun kata sandi dan informasi kartu kredit tidak terpengaruh.
Peretasan tersebut ditemukan oleh peneliti keamanan bernama Lynx, yang membagikan postingan Medium yang menyatakan bahwa dia dapat mengakses server Slickwraps pada bulan Januari menggunakan kerentanan di bagian pengunggahan gambar kulit khusus di situs web.
Melanggar
Dalam postingannya, Lynx menyebutkan bahwa ia tidak hanya mendapatkan akses ke detail admin, alamat penagihan dan pengiriman pelanggan, nomor telepon, foto pelanggan, tetapi juga mendapatkan akses ke detail internal termasuk resume karyawan, sistem tiket ZenDesk, kredensial API, dan bahkan media sosial. akun.
Peneliti turun ke Twitter untuk memberi tahu Slickwraps tentang kerentanan; namun, tim pendukung perusahaan tampak tidak mengerti tentang klaimnya.
Sementara semua tweet dan kiriman mediumnya sekarang dihapus, Lynx menyebutkan bahwa karena kerentanan masih belum diperbaiki, peretas lain mungkin dapat mengakses data tersebut. Alih-alih menindaklanjuti informasinya, Lynx diblokir di Twitter oleh tim media sosial Slickwraps.
Menyusul pengungkapan tersebut, peretas akhirnya dapat memperoleh data dan mengirim email ke lebih dari 377.000 pelanggan menggunakan ID dukungan resmi Slickwraps untuk memberi tahu mereka tentang penyusupan tersebut. Sampai sekarang, tidak ada laporan penggunaan detail pribadi yang berbahaya.
Slickwraps mengeluarkan pernyataan menerima pelanggaran dan meminta maaf kepada pelanggan dengan janji untuk meningkatkan proses keamanan mereka. Perusahaan juga mengumumkan akan bermitra dengan perusahaan keamanan dunia maya pihak ketiga untuk audit keamanan dan menerapkan saran mereka untuk meningkatkan protokol keamanan.
Pernyataan resmi dari Slickwraps berbunyi “Tidak ada yang lebih kami hargai selain kepercayaan dari pengguna kami. Kami menghubungi Anda karena kami telah melakukan kesalahan yang melanggar kepercayaan itu. Pada tanggal 21 Februari, kami menemukan informasi di beberapa database non-produksi kami secara keliru dipublikasikan melalui exploit. Selama ini, database diakses oleh pihak yang tidak berwenang.
Informasi tersebut tidak mengandung kata sandi atau data keuangan pribadi. Informasi itu memang berisi nama, email pengguna, alamat.”
Melalui: AndroidPolice (terbuka di tab baru)