<
>

丝芙兰数据违规行为在黑暗的网络上看到数以百万计的客户信息正在出售

改天,又一次违规,这次涉及化妆品零售商丝芙兰。本周早些时候,有报道指出,丝芙兰在线客户的个人信息已经泄露,其中包括新加坡,马来西亚,泰国,印度尼西亚,菲律宾,新西兰和澳大利亚等国家的在线客户。

由于黑客一直试图通过出售大约370万个丝芙兰客户记录的数据库来获利,其中包含客户的姓名,电子邮件地址,登录详细信息,加密的密码,IP等信息,因此数据已在黑暗的网络中找到了途径地址,个人详细信息和美容偏好。

丝芙兰(Sephora)东南亚公司董事总经理Alia Gogi令人难以置信地表示,尽管某些个人信息可能已经暴露给未经授权的第三方,但未获得任何信用卡信息,并且该公司“没有理由相信任何个人信息数据被滥用”。

确实没有信用卡信息或解密的密码被泄露。但是,当今的网络犯罪分子仍然可以通过多种方法滥用泄露的数据,例如通过社会工程或针对性强的鱼叉式网络钓鱼攻击。

CSA与Synopsys和HackerOne的安全专家取得了联系,他们同意分享他们对该事件以及公司如何避免遭受类似违规行为的一些想法。完整的评论如下:

Synopsys软件完整性集团董事总经理Nabil Hannan

“起初,丝芙兰的违规行为对大多数男人来说就像美容产品一样神秘。鉴于他们如何发现主要漏洞(基于他们发现漏洞的努力)并不意味着数据不会泄漏。有两个漏洞阅读丝芙兰董事总经理的声明时会立即想到的事情。

他们首先说的是“没有理由相信任何个人数据被滥用” –鉴于他们已经声明用户数据已被泄露,包括名字和姓氏,日期等,因此很难声称这一点。出生和性别无法确定泄露后如何滥用这些数据。

关于此事件的另一件事很突出,那就是他们对软件进行了审查,但没有发现重大漏洞。有时可能不需要漏洞即可发生违规。组织还需要考虑到可能存在潜在的恶意内部威胁。例如,当查看数据库的破坏位置时,重要的是要了解系统的威胁模型,并确定哪些人有权访问数据库以及他们是否确实需要访问权。

这些类型的违规行为突出显示了通过威胁建模或体系结构风险分析对整个软件生态系统进行整体评估的重要性,以确定软件设计方式中是否存在可被内部人员恶意使用以导致此类违规行为的缺陷。 ,即使软件组件中可能没有任何重大的安全漏洞。”

###

HackerOne欧洲,中东和非洲地区销售工程师Laurie Mercer

“丝芙兰对这一数据泄露事件做出了非常负责任的反应,通知了客户并审查了其安全系统,因此客户可以对公司现在正在采取正确的措施充满信心。

但是,尽管消费者确实信任公司来保护其数据安全,但是当他们得知这样的数据泄露时,我建议他们也采取预防措施来保护其数据,无论他们是否认为自己受到了影响。以避免任何令人讨厌的惊喜岁月。在这种情况下,在此类违规行为发生之后,保持对垃圾邮件和网络钓鱼电子邮件的警惕将是关键。

这样的违规行为也使每个公司都应有一个正式的流程来接受来自外部第三方的漏洞报告这一观点也成为现实。漏洞披露政策或 安全@ 电子邮件是确保当某人看到暴露的东西时可以说些什么的最好方法。”

你可能还喜欢
最多评论
分享我们的想法

0 Comment 登录 要么 寄存器 发表评论