...
🧑 💻 Tous les plus intéressants du logiciel, de l’automobile, du monde. Il a tout ce que vous devez savoir sur les appareils mobiles, les ordinateurs et plus encore pour les geeks.

[Mise à jour x2] Message d’intérêt public : si vous avez déjà acheté quelque chose chez SlickWraps, toutes vos informations personnelles ont été compromises

8

SlickWraps

SlickWraps, l’un des fabricants d’habillages d’appareils les plus connus, semble avoir un problème de sécurité majeur entre ses mains. Un chercheur en sécurité passant par le compte Twitter Lynx0x00, a réussi à se frayer un chemin dans les systèmes de SlickWraps et à apparemment tout compromettre. Si vous êtes un client SlickWraps, il est temps de verrouiller votre crédit et de changer vos mots de passe.


Mise à jour, 2/21 : Peu de temps après la publication de cet article, SlickWraps a publié une déclaration officielle via son compte Twitter :

https://twitter.com/SlickWraps/status/1230929725192839170?s=20

Mise à jour x2, 21/02 : l’article moyen d’origine détaillant cette violation n’est plus disponible. Vous pouvez trouver une version archivée ici.

Le rapport original est laissé intact ci-dessous.


Comme il l’a expliqué dans un article Medium, Lynx0x00 a commencé à se pencher sur SlickWraps en raison de plaintes du service client sur Twitter. Mais la véritable histoire commence lorsqu’il a vu une affirmation selon laquelle un pirate informatique avait piraté les comptes ZenDesk de SlickWraps. Et donc commencé à tester.

Il n’a pas fallu longtemps avant qu’il ait un accès complet aux bases de données clients. La zone de personnalisation de l’étui de téléphone de l’entreprise sur son site Web contenait une vulnérabilité qui permettait à quiconque disposant du bon ensemble d’outils de charger n’importe quel fichier à n’importe quel emplacement du répertoire le plus élevé de son serveur. À partir de là, tout le reste est tombé comme des dominos.

Lynx dit qu’il a eu accès aux bases de données de l’entreprise, à Slack, aux journaux de transactions pour leurs passerelles de paiement, et même au contrôle total du système de gestion de contenu de l’entreprise.

Finalement, il a essayé de divulguer la vulnérabilité à SlickWraps, à la fois avec des moyens conventionnels (comme un e-mail bien rédigé) et des moyens non conventionnels (comme un vague Tweet avec des suivis moins vagues). Au départ, ses tentatives de contact sont restées sans réponse et l’entreprise l’a même bloqué sur Twitter.

Finalement, il a réussi à entrer en contact avec l’équipe des médias sociaux de SlickWraps, mais cette discussion s’est mal déroulée et l’entreprise l’a de nouveau bloqué. Cela a conduit Lynx à publier ses découvertes sur Medium. Pour sa part, SlickWrap n’a pas reconnu les affirmations de Lynx et son compte Twitter est silencieux. Nous mettrons à jour ce message si la société publie une déclaration. (Modifier : vous pouvez lire la déclaration de SlickWrap ci-dessus.)

Malheureusement, nous avons toutes les raisons de croire que quelqu’un a accès aux comptes et services SlickWraps. Les clients commencent à publier des e-mails à partir du compte de messagerie officiel de SlickWraps, mais écrits par quelqu’un d’autre. Lynx a déclaré qu’il n’avait pas écrit l’e-mail.

Si vous avez déjà acheté quelque chose chez SlickWraps, vous voudrez peut-être verrouiller votre crédit et contacter vos compagnies de carte de crédit.

Vous voudrez peut-être aussi réinitialiser les mots de passe, et si vous réutilisez le même mot de passe pour de nombreux sites, vous devriez arrêter. Nous vous suggérons d’utiliser un gestionnaire de mots de passe pour créer des mots de passe uniques pour chaque site Web.

via Lynx0x00 sur moyen

Source d’enregistrement: www.reviewgeek.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More