Slickwraps violação de dados maciça poderia ter sido evitada

Atualmente, sites, bancos de dados e empresas invadidos não são novidade, mas alguns são manchetes por causa de seu alcance maciço, negligência flagrante ou drama divulgado. O incidente que envolve quase todos os dados de clientes do fabricante de películas Slickwraps tem todos esses elementos, pelo menos dependendo de qual lado você acredita. A empresa acabou sendo hackeada, mas apenas por um número relativamente baixo de detalhes do cliente e apenas nos últimos três dias, enquanto o pesquisador de segurança que divulgou o assunto afirma o contrário. Infelizmente, os dois lados podem ser um pouco culpados por exacerbar o incidente já infeliz.

Uma pessoa com o nome de Lynx0x00 se posicionando como analista de segurança cibernética postou um blog na sexta-feira passada detalhando sua experiência desfavorável de “denunciar” uma vulnerabilidade bastante severa e fácil de explorar nos servidores do Slickwraps. As contas Medium e Twitter do Lynx0x00 desapareceram misteriosamente, mas, felizmente, a Internet nunca se esquece de verdade. Isso e olhos suficientes viram e taparam as postagens da posteridade.

O pesquisador de segurança detalhou como conseguiu acessar servidores Slickwraps, obter acesso de administrador a vários serviços e roubar dados de clientes, incluindo endereços de e-mail e entrega e informações de cobrança. Ele também conta como foi praticamente ignorado ou bloqueado pela empresa desde que ele tentou chamar a atenção deles em 16 de fevereiro, forçando-o a simplesmente publicar suas descobertas. Não é de surpreender que outros grupos de hackers tenham pulado nas informações para testá-las com muito sucesso.

Não era até sábado que Slickwraps faria uma declaração pública e envie um email para seus clientes sobre o incidente. Alega que só descobriu o incidente em 21 de fevereiro e imediatamente restringiu o acesso ao servidor de não produção de exposição. Ele também alegou que a violação expunha apenas nomes de clientes, nomes de usuários e endereços de email, mas os emails que os clientes receberam dos grupos de hackers mencionados acima provaram o contrário.

Dada a falta de divulgação oportuna e honesta, é difícil determinar em qual versão dos eventos se deve acreditar. Não é incomum que as empresas subestimem esses incidentes ou até mentam sobre fatos para salvar a face ou evitar ações judiciais. Por outro lado, os métodos de divulgação do Lynx0x00 e o desaparecimento repentino de suas contas também não falam muito bem do pesquisador de segurança.

Artigo original

Deixe um comentário