Slickwraps lekt privégegevens van 858.000 klanten
De Amerikaanse fabrikant van smartphonehoesjes Slickwraps heeft de privégegevens van 858.000 klanten gelekt. Het gaat om e-mailadressen, namen, telefoonnummers, adresgegevens en aankopen, zo meldt beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned.
In een verklaring stelt Slickwraps dat klantgegevens in een "non-productie database per ongeluk via een exploit openbaar zijn gemaakt". Gedurende deze periode is de database door een ongeautoriseerde partij benaderd. Technische details over wat er precies is gebeurd laat het bedrijf niet weten. Wel is op de 21 februari "de exploit verholpen en alle data beveiligd", zo gaat de verklaring verder. Gedupeerde klanten zijn via e-mail ingelicht en krijgen uit voorzorg het advies om hun wachtwoord te wijzigen.
Vanwege het datalek stelt Slickwraps dat het de eigen beveiligingsprocessen gaat versterken en de communicatie van beveiligingsrichtlijnen aan medewerkers gaat verbeteren. Verder zullen verschillende beveiligingsfeatures voor gebruikers worden doorgevoerd. Het bedrijf heet tevens de FBI ingelicht die een onderzoek is gestart. Van de 858.000 buitgemaakte e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.
https://archive.is/yEIJT, de originele blog is door Medium offline gehaald.
(1) Patching was niet goed geregeld
(2) Awareness was niet goed geregeld/ niet aanwezig
(3) De beveiligingsprocessen waren niet goed geregeld.
(4) Het dichten van het lek doet verder niets aan het bekend worden van de PII bij een ongeautoriseerde derde partij.
(5) Het resetten van de wachtwoorden is leuk, maar zie ook punt 4.
(6) Twitter berichten gericht aan het bedrijf worden niet gelezen/ niet in de gaten gehouden (zie de verklaring).
(7) De teksten in de verklaring hebben 0 gewicht:
February 21st, 2020 - The attacker has emailed customers connected to the breach. Has publicly stated no data was stored and all deleted. --> geen enkel bewijs van.
February 21st, 2020 - The exploit was repaired and all data is secured. --> behalve de data die al op straat ligt natuurlijk
Het zoveelste bedrijf dat er weer goed op staat. Nog een ontelbaar aantal te gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
