Slickwraps est l’un des vendeurs les plus connus de skins en vinyle pour ordinateurs, téléphones, tablettes, consoles de jeux et autres catégories de produits. Si vous avez déjà acheté quelque chose chez Slickwraps (sans PayPal ou un autre service similaire), il est maintenant temps de remplacer votre carte de crédit, car l’entreprise a subi de multiples violations de données affectant toutes les données client.

Les violations ont commencé lorsque le chercheur en sécurité “ Lynx ” a trouvé un moyen de télécharger des fichiers vers le répertoire racine du serveur de Slickwraps (version archivée), via le formulaire de téléchargement d’image de peau personnalisé sur le site Web de la société. De là, il a prétendu avoir accès aux détails de l’administrateur, aux adresses de facturation et de livraison des clients, aux numéros de téléphone, aux informations d’identification de l’API pour le support client et les comptes de médias sociaux, et à d’autres données. Le chercheur a “ divulgué ” le piratage à Slickwraps – et par “ divulgué ”, je veux dire qu’il a dit “Hey @SlickWraps, You failed the vibe check” dans un tweet public, puis a posté des captures d’écran de messages de support client. Je ne pense pas que cela fonctionne comme les divulgations de vulnérabilité.

Les tweets publics ont amené d’autres pirates à examiner les vulnérabilités, ce qui signifie qu’il pourrait y avoir plusieurs copies de toutes les bases de données violées. De nombreux clients Slickwraps ont reçu des e-mails d’au moins un groupe, qui utilise le propre e-mail de contact de Slickwraps pour informer les clients qu’ils ont été piratés.

Eh bien, c’est un gros vieux yikes de @SlickWraps pic.twitter.com/28SOEMIBZ9

– Toneman (@Toneman) 21 février 2020

Ne tends pas la main. pic.twitter.com/A1udbHwwZ0

– Cesar Torres (@ towerz650) 21 février 2020

Sérieusement!? @SlickWraps pic.twitter.com/pkfhUlFZUB

– Gillerz (@mattgillerz) 21 février 2020

@SlickWraps J’ai passé une commande il y a 4 ans et je viens de recevoir un e-mail m’informant que mes données ont été compromises, y compris mon adresse e-mail, mon adresse précédente et mon numéro de téléphone.

Répond s’il te plait!!

– David (@dpfjobs) 21 février 2020

Il ne semble pas encore y avoir de rapport d’utilisation malveillante de la base de données Slickwraps, mais il est toujours incroyablement difficile de dire comment vos informations de paiement ont été piratées lorsque des achats aléatoires apparaissent sur votre facture. Il n’est pas clair si les informations de paiement détaillées étaient accessibles aux pirates ⁠ – le blog original mentionnait seulement que les “informations d’identification API pour PayPal Payments Pro” étaient facilement disponibles – mais il est plausible qu’une personne malveillante puisse faire plus de fouilles et trouver ces données.

Au moment de la publication, la base de données n’a pas été téléchargée sur Have I Been Pwned, un site Web sur lequel tout le monde peut vérifier s’ils ont été affectés par des violations de la base de données. Slickwraps n’a toujours publié aucune réponse officielle sur les réseaux sociaux. Nous avons contacté la société pour une déclaration, et nous mettrons à jour ce message si nous entendons de retour.

Slickwraps a envoyé un e-mail aux clients expliquant que la vulnérabilité n’a pas divulgué de “mots de passe ou de données financières personnelles”, mais a inclus des noms, des e-mails, des adresses de livraison et d’autres données. Voici le message complet:

Utilisateurs de Slickwraps,

Il n’y a rien que nous apprécions plus que la confiance de nos utilisateurs. En fait, tout notre modèle d’entreprise dépend de l’établissement d’une confiance à long terme avec des clients qui reviennent sans cesse.

Nous vous contactons car nous avons commis une erreur en violation de cette confiance. Le 22 février, nous avons découvert que des informations contenues dans certaines de nos bases de données hors production avaient été rendues publiques par erreur via un exploit. Pendant ce temps, les bases de données ont été consultées par une partie non autorisée.

Les informations ne contenaient pas de mots de passe ou de données financières personnelles.

Les informations contenaient des noms, des e-mails d’utilisateurs, des adresses. Si jamais vous deveniez “INVITÉ”, aucune de vos informations n’était comprise.

Si vous étiez un utilisateur avec nous avant de sécuriser ces informations le 22 février, nous écrivons à regret cet e-mail comme une notification que certaines de vos informations ont été incluses dans ces bases de données. Si vous recevez cet e-mail et que vous nous avez rejoint après le 22 février, nous écrivons cet e-mail car vous utilisez nos produits et méritez de savoir comment vos données sont traitées.

Après avoir découvert les données publiques sur les utilisateurs, nous avons immédiatement pris des mesures pour les sécuriser en fermant toutes les bases de données en question.

Par mesure de sécurité supplémentaire, nous vous recommandons de réinitialiser le mot de passe de votre compte Slickwraps. Encore une fois, aucun mot de passe n’a été compromis, mais nous le recommandons comme mesure de sécurité standard. Enfin, soyez attentif à toute tentative de phishing.

Nous sommes profondément désolés pour cette omission. Nous promettons de tirer des leçons de cette erreur et apporterons des améliorations à l’avenir. Cela comprendra l’amélioration de nos processus de sécurité, l’amélioration de la communication des directives de sécurité à tous les employés de Slickwraps, et la mise en avant de nos fonctionnalités de sécurité demandées par les utilisateurs notre priorité absolue au cours des prochains mois. Nous travaillons également en partenariat avec une société tierce de cybersécurité pour auditer et améliorer nos protocoles de sécurité.

Plus de détails suivront et nous apprécions votre patience pendant ce processus.

Cordialement,

Jonathan Endicott

PDG @ Slickwraps

Le communiqué indique que Slickwraps a pris conscience de la vulnérabilité le “22 février”, même si la société est basée aux États-Unis, où elle est actuellement le 21. Il n’est pas clair si c’est une faute de frappe, ou si le message a été écrit par quelqu’un chez Slickwraps travaillant dans un autre fuseau horaire.

Si vous n’êtes pas sûr d’avoir été affecté, les bases de données ont maintenant été téléchargées sur Have I Been Pwned, vous pouvez donc entrer votre adresse e-mail sur ce site pour vérifier. Le service indique que la violation a touché plus de 857 000 comptes.

En outre, bon nombre des messages de divulgation envoyés par le groupe de pirates utilisant [email protected] ont atterri dans des boîtes de spam, vérifiez également votre spam.