SlickWraps ha sido pirateado, los datos del cliente se comprometen (actualización: notificaciones por correo electrónico)

Leer actualización
  • Slickwraps envió un correo electrónico a los clientes explicando que la vulnerabilidad no filtraba "contraseñas o datos financieros personales", pero sí incluía nombres, correos electrónicos, direcciones de envío y otros datos. Aquí está el mensaje completo:

Slickwraps es uno de los vendedores más conocidos de fundas de vinilo para computadoras, teléfonos, tabletas, consolas de juegos y otras categorías de productos. Si alguna vez compró algo de Slickwraps (sin PayPal u otro servicio similar), ahora es el momento de reemplazar su tarjeta de crédito, porque la empresa ha sufrido múltiples filtraciones de datos que afectan a todos los datos de los clientes.

Las infracciones comenzaron cuando el investigador de seguridad 'Lynx' encontró una manera de cargar archivos en el directorio raíz del servidor de Slickwraps (versión archivada), a través del formulario de carga de imagen de máscara personalizado en el sitio web de la empresa. A partir de ahí, afirmó tener acceso a los detalles del administrador, las direcciones de envío y facturación de los clientes, los números de teléfono, las credenciales de API para la atención al cliente y las cuentas de redes sociales, y otros datos. El investigador 'reveló' el truco a Slickwraps y por 'revelado' me refiero a que dijo "Oye, @SlickWraps, fallaste en la verificación de vibraciones" en un tweet público (copia de seguridad), y luego publicó capturas de pantalla de los mensajes de atención al cliente (copia de seguridad). No creo que así sea como funcionan las divulgaciones de vulnerabilidades.

ANDROIDPOLICE VÍDEO DEL DÍA

Los tweets públicos llevaron a otros piratas informáticos a investigar las vulnerabilidades (copia de seguridad), lo que significa que podría haber múltiples copias de todas las bases de datos violadas. Muchos clientes de Slickwraps han recibido correos electrónicos de al menos un grupo, que utiliza el propio correo electrónico de contacto de Slickwraps para informar a los clientes que han sido pirateados.

Parece que todavía no hay informes de usos maliciosos de la base de datos de Slickwraps, pero siempre es increíblemente difícil saber cómo se pirateó su información de pago cuando aparecen compras aleatorias en su factura. No está claro si los piratas informáticos podían acceder a la información de pago detallada, la publicación original del blog solo mencionaba que las "credenciales API para PayPal Payments Pro" estaban disponibles, pero es plausible que alguien con intenciones maliciosas pueda investigar más y encontrar esos datos.

En el momento de la publicación, la base de datos no se ha subido a Have I Been Pwned, un sitio web donde cualquier persona puede verificar si se ha visto afectado por violaciones de la base de datos. Slickwraps aún no ha publicado ninguna respuesta oficial en ningún canal de redes sociales. Nos comunicamos con la compañía para obtener una declaración y actualizaremos esta publicación si recibimos una respuesta.

ACTUALIZACIÓN: 2020/02/21 11:30 a.m. PST POR CORBIN DAVENPORT

Slickwraps envió un correo electrónico a los clientes explicando que la vulnerabilidad no filtraba "contraseñas o datos financieros personales", pero sí incluía nombres, correos electrónicos, direcciones de envío y otros datos. Aquí está el mensaje completo:

Usuarios de Slickwraps,

No hay nada que valoremos más que la confianza de nuestros usuarios. De hecho, todo nuestro modelo comercial depende de generar confianza a largo plazo con los clientes que regresan.

Nos comunicamos con usted porque cometimos un error en violación de esa confianza. El 22 de febrero, descubrimos que la información en algunas de nuestras bases de datos que no son de producción se hizo pública por error a través de un exploit. Durante este tiempo, una parte no autorizada accedió a las bases de datos.

La información no contenía contraseñas ni datos financieros personales.

La información contenía nombres, correos electrónicos de usuarios, direcciones. Si alguna vez se registró como "INVITADO", ninguna de sus informaciones estaba incluida.

Si era un usuario con nosotros antes de que obtuviéramos esta información el 22 de febrero, lamentamos escribir este correo electrónico como una notificación de que parte de su información se incluyó en estas bases de datos. Si recibe este correo electrónico y se unió a nosotros después del 22 de febrero, escribimos este correo electrónico porque usa nuestros productos y merece saber cómo se manejan sus datos.

Al enterarnos de los datos públicos de los usuarios, tomamos medidas inmediatas para protegerlos cerrando las bases de datos en cuestión.

Como medida de seguridad adicional, le recomendamos que restablezca la contraseña de su cuenta de Slickwraps. Una vez más, no se comprometieron las contraseñas, pero lo recomendamos como medida de seguridad estándar. Finalmente, esté atento a cualquier intento de phishing.

Lamentamos profundamente este descuido. Prometemos aprender de este error y haremos mejoras en el futuro. Esto incluirá mejorar nuestros procesos de seguridad, mejorar la comunicación de las pautas de seguridad a todos los empleados de Slickwraps y hacer que más funciones de seguridad solicitadas por los usuarios sean nuestra principal prioridad en los próximos meses. También nos asociamos con una empresa de seguridad cibernética de terceros para auditar y mejorar nuestros protocolos de seguridad.

Más detalles seguirán y apreciamos su paciencia durante este proceso.

Sinceramente,

jonathan endicott

Director ejecutivo @ Slickwraps

El comunicado dice que Slickwraps se dio cuenta de la vulnerabilidad el "22 de febrero", a pesar de que la compañía tiene su sede en los Estados Unidos, donde se encuentra actualmente el 21. No está claro si se trata de un error tipográfico o si el mensaje fue escrito por alguien de Slickwraps que trabaja en otra zona horaria.

gracias: jamie

ACTUALIZACIÓN: 2020/02/22 12:14 p. m. PST POR CORBIN DAVENPORT

Si no está seguro de haber sido afectado, las bases de datos ahora se cargaron en Have I Been Pwned, por lo que puede ingresar su dirección de correo electrónico en ese sitio para verificar. El servicio dice que la brecha afectó a más de 857.000 cuentas.

Además, muchos de los mensajes de divulgación enviados por el grupo de piratas informáticos a través de [email protected] han llegado a las casillas de correo no deseado, así que revise su correo no deseado también.

Video:

Ir arriba