大规模数据泄露本来是可以避免的

2020-03-23 08:51:00 编辑：来源：

导读如今，被黑客攻击的网站、数据库和公司已经不是什么新鲜事了，但一些人却因为其庞大的影响力、惊人的疏忽或公开的戏剧性而成为头条新闻。围绕几乎所有皮肤制造商 Slickwraps的客户数据的事件都有所有这些元素，至少取决于你信任哪一方。该公司承认被黑客攻击，但仅针对相对较少的客户细节，仅在过去三天，而披露此事的安全研究人员声称相反。不幸的是，双方都有一点责任使本已不幸的事件恶化。上周五，一位

如今，被黑客攻击的网站、数据库和公司已经不是什么新鲜事了，但一些人却因为其庞大的影响力、惊人的疏忽或公开的戏剧性而成为头条新闻。围绕几乎所有皮肤制造商

Slickwraps的客户数据的事件都有所有这些元素，至少取决于你信任哪一方。该公司承认被黑客攻击，但仅针对相对较少的客户细节，仅在过去三天，而披露此事的安全研究人员声称相反。不幸的是，双方都有一点责任使本已不幸的事件恶化。

上周五，一位名叫Lynx0x00的人将自己定位为网络安全分析师，他在博客中详细描述了他的不利经历“报告”，这是一个相当严重和容易利用Slickwraps服务器上的漏洞的人。林克斯0x00的中型和Twitter账户神秘地消失了，但幸运的是，互联网从来没有真正忘记。这和足够多的眼睛已经看到和屏蔽了这些帖子为后代。

安全研究员详细介绍了他如何能够访问Slickwraps服务器，获得管理访问各种服务，并窃取客户数据，包括电子邮件和运输地址和客户帐单信息。他还讲述了自从2月16日他第一次试图引起他们的注意以来，他实际上是如何被公司忽视甚至封锁的，迫使他简单地公布他的调查结果。不出所料，其他黑客组织也纷纷对此信息进行测试，取得了很大成功。

直到星期六，Slickwraps才会发表公开声明，并通过电子邮件向客户通报这一事件。它声称，它只在2月21日发现了这起事件，并立即限制了对公开的非生产服务器的访问。它还声称，这一违规行为只暴露了客户姓名、用户名和电子邮件地址，但客户从上述黑客团体收到的电子邮件似乎证明了这一点。

由于缺乏及时和诚实的披露，很难确定事件的哪个版本是可信的。对于公司来说，淡化这类事件，甚至谎报事实，以保全面子或逃避诉讼并不少见。另一方面，Lynx0x00的披露方法和他的账户突然消失也不能很好地描述安全研究者。