[Uppdaterad x2] PSA: Om du någonsin har köpt något från SlickWraps, har all din personliga information äventyrats
SlickWraps
SlickWraps, en av de mest välkända tillverkarna av enhetsskinn, verkar ha ett stort säkerhetsproblem. En säkerhetsforskare som gick genom Twitter-handtaget Lynx0x00 lyckades ta sig in i SlickWraps system och kompromissa till synes allt. Om du är en SlickWraps-kund är det dags att låsa din kredit och byta lösenord.
Uppdatering, 21/2: Kort efter att ha publicerat detta inlägg släppte SlickWraps ett officiellt uttalande via sitt Twitter-konto:
https://twitter.com/SlickWraps/status/1230929725192839170?s=20
Uppdatering x2, 2/21: Det ursprungliga Medium-inlägget som beskriver detta brott är inte längre tillgängligt. Du hittar en arkiverad version här.
Den ursprungliga rapporten lämnas intakt nedan.
Som han förklarade i ett Medium-inlägg började Lynx0x00 först titta på SlickWraps på grund av klagomål från kundtjänst på Twitter. Men den verkliga historien börjar när han såg ett påstående om att hackare brutit mot SlickWraps ZenDesk-konton. Och så började testa.
Det tog inte lång tid innan han hade full tillgång till kunddatabaser. Företagets anpassningsområde för telefonfodral på deras webbplats innehöll en sårbarhet som gjorde det möjligt för alla med rätt uppsättning verktyg att ladda vilken fil som helst till vilken plats som helst i den högsta katalogen på sin server. Därifrån föll allt annat som dominobrickor.
Lynx säger att han fick tillgång till företagets databaser, Slack, transaktionsloggar för deras betalningsgateways och till och med full kontroll över företagets innehållshanteringssystem.
Så småningom försökte han avslöja sårbarheten för SlickWraps, både med konventionella medel (som ett välformulerat e-postmeddelande) och okonventionella medel (som en vag tweet med mindre vaga uppföljningar). Inledningsvis blev hans försök till kontakt obesvarade, och företaget blockerade honom till och med på Twitter.
Så småningom lyckades han komma i kontakt med SlickWraps sociala medieteam, men den diskussionen gick dåligt och företaget blockerade honom igen. Det ledde till att Lynx publicerade sina resultat på Medium. För sin del har SlickWrap inte erkänt Lynx påståenden, och dess Twitter-konto är radiotyst. Vi kommer att uppdatera det här inlägget om företaget släpper ett uttalande. (Edit: Du kan läsa SlickWraps uttalande ovan.)
Tyvärr har vi all anledning att tro att någon har tillgång till SlickWraps-konton och tjänster. Kunder börjar skicka e-postmeddelanden från det officiella SlickWraps-e-postkontot, men skrivna av någon annan. Lynx har sagt att han inte skrev mejlet.
Om du någonsin har köpt något från SlickWraps kanske du vill låsa din kredit och kontakta ditt kreditkortsföretag.
Du kanske vill återställa lösenord också, och om du återanvänder samma lösenord för många webbplatser bör du sluta. Vi föreslår att du använder en lösenordshanterare för att skapa unika lösenord för varje webbplats.