Компания Slickwraps, разрабатывающая скины для устройств Apple, таких как iPhone и Mac, вчера пострадала от утечки данных, в результате которой была раскрыта информация о клиентах, включая имена и адреса.

Новость об утечке появилась, когда хакеры, получившие доступ к базе данных, разослали электронные письма клиентам Slickwraps (более 370 000 пользователей), информируя их о слабой безопасности компании.

До утечки специалиста по безопасности, известного в Твиттере как Lynx Lynx, многократно предупреждал Slickwraps об уязвимостях на их сайте (связанных с функцией создания скинов). Теперь он удалил все свои твиты.

Lynx уведомил Slickwraps об утечке данных 15 февраля и пытался связаться с компанией несколько раз в течение последней недели, как указано в статье на Medium, которая была приостановлена платформой. Электронные письма Lynx были проигнорированы, и он даже был заблокирован Slickwraps в Твиттере после попытки уведомить сайт об уязвимостях безопасности.

Взаимодействия Lynx со Slickwraps не были особенно вежливыми, и он общался с сотрудниками службы поддержки, которые явно не понимали происходящего, судя по удаленной статье на Medium. Тем не менее, Slickwraps явно игнорировала многочисленные предупреждения о своей слабой безопасности до утечки данных. Lynx утверждает, что он не рассылал электронные письма, доставленные клиентам Slickwraps вчера, и что утечка произошла по вине третьей стороны после публикации его статьи. Однако из-за приостановки его поста на Medium и удаления всех твитов он может столкнуться с проблемами из-за публичного раскрытия уязвимостей сайта.

После рассылки писем и осведомления клиентов об утечке данных, Slickwraps наконец прокомментировала ситуацию. В первоначальном заявлении, опубликованном Slickwraps в Твиттере (компания базируется в США), утверждалось, что они только что узнали об утечке данных 22 февраля, хотя на самом деле был еще 21 февраля. Это было неточно, поскольку Lynx документировал свои попытки связаться с компанией в Твиттере. Позже Slickwraps удалила это заявление и опубликовала новое с правильной датой. Из заявления Slickwraps:

Нет ничего, что мы ценим выше доверия наших пользователей. По сути, вся наша бизнес-модель зависит от построения долгосрочного доверия с клиентами, которые возвращаются снова и снова.

Мы обращаемся к вам, потому что мы допустили ошибку, нарушив это доверие. 21 февраля мы обнаружили, что информация в некоторых наших непроизводственных базах данных была по ошибке сделана общедоступной через эксплойт. В это время к базам данных получил доступ неавторизованный субъект.

Информация не содержала паролей или личных финансовых данных.

Информация содержала имена, электронные адреса пользователей, адреса. Если вы когда-либо оформляли заказ как «ГОСТЬ», ваша информация не была скомпрометирована.

Slickwraps далее заявляет, что «глубоко сожалеет» о недосмотре и обещает «извлечь уроки из этой ошибки». Рекомендуется пользователям сбросить пароли своих учетных записей и быть бдительными в отношении любых попыток фишинга.

В дальнейшем Slickwraps заявила, что усилит свои процессы безопасности, улучшит информирование сотрудников Slickwraps о правилах безопасности и сделает функции безопасности, запрашиваемые пользователями, «высшим приоритетом». Компания также сообщила, что сотрудничает со сторонней компанией по кибербезопасности для аудита и улучшения протоколов безопасности.

Утечка данных Slickwraps демонстрирует важность тестирования на проникновение для любого сайта, работающего с клиентскими данными. В наши дни утечек данных практически невозможно избежать, но клиенты могут в некоторой степени защитить себя, используя уникальные пароли для каждого сайта и двухфакторную аутентификацию там, где это применимо.