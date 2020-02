Slickwraps, une société qui développe des skins pour les appareils Apple comme l’iPhone et le Mac, a subi hier une violation de données qui a entraîné la fuite d’informations sur les clients comme les noms et les adresses.

La nouvelle de la fuite a fait surface lorsque des pirates informatiques qui ont pénétré dans la base de données ont envoyé des e-mails à la clientèle de Slickwraps, qui compte plus de 370 000 utilisateurs, pour leur faire part de la mauvaise sécurité de Slickwraps.

Avant la violation, Slickwraps a été averti à plusieurs reprises des vulnérabilités de son site (liées à la fonction de création d’un skin) par un chercheur en sécurité qui passe par Lynx sur Twitter, qui a maintenant supprimé tous ses tweets.

Lynx a informé Slickwraps de la violation de données le 15 février et a tenté de contacter la société à plusieurs reprises au cours de la semaine dernière, comme indiqué dans un article partagé sur Medium qui a maintenant été suspendu par Medium. Lynx a ignoré ses e-mails et a même été bloqué par Slickwraps sur Twitter après avoir tenté d’informer le site de ses failles de sécurité.

Les interactions de Lynx avec Slickwraps n’étaient pas exactement polies et il avait affaire à un personnel de support client qui était clairement confus quant à ce qui se passait sur la base de l’article Medium maintenant supprimé, mais Slickwraps a ignoré de manière flagrante plusieurs avertissements concernant sa mauvaise sécurité avant la violation de données. Lynx dit qu’il n’a pas envoyé les e-mails qui ont été livrés aux clients Slickwraps hier et que c’est une violation de données par un tiers qui s’est produite après la publication de son article, mais avec sa publication Medium suspendue et tous ses tweets supprimés, il peut être dans de l’eau chaude pour la voie publique qu’il a dévoilé les vulnérabilités du site.

Après que les e-mails aient été envoyés et que les clients aient pris connaissance de la violation de données, Slickwraps a finalement commenté la situation. Une première déclaration tweetée par Slickwraps (qui est basé aux États-Unis) prétendait avoir entendu parler de la violation de données le “22 février” alors qu’elle était encore le 21 février, ce qui était un mensonge clair parce que Lynx a documenté ses tentatives pour entrer en contact. avec l’entreprise sur Twitter. Slickwraps a ensuite supprimé la déclaration et en a tweeté une nouvelle avec la date correcte. De la déclaration de Slickwraps:

Il n’y a rien que nous apprécions plus que la confiance de nos utilisateurs. En fait, tout notre modèle d’entreprise dépend de l’établissement d’une confiance à long terme avec des clients qui reviennent sans cesse.

Nous vous contactons parce que nous avons commis une erreur en violation de cette confiance. Le 21 février, nous avons découvert que des informations contenues dans certaines de nos bases de données hors production avaient été rendues publiques par erreur via un exploit. Pendant ce temps, les bases de données ont été consultées par une partie non autorisée.

Les informations ne contenaient pas de mots de passe ou de données financières personnelles.

Les informations contenaient des noms, des e-mails d’utilisateurs, des adresses. Si vous avez déjà vérifié comme “INVITÉ” aucune de vos informations n’a été compromise.

Slickwraps poursuit en disant qu’il est “profondément désolé” pour la surveillance et promet “d’apprendre de cette erreur”. Il recommande aux utilisateurs de réinitialiser les mots de passe de leur compte et d’être attentif à toute tentative de phishing.

À l’avenir, Slickwraps affirme qu’elle améliorera ses processus de sécurité, améliorera la communication des directives de sécurité aux employés de Slickwraps et fera des fonctions de sécurité demandées par l’utilisateur une «priorité absolue». La société affirme qu’elle s’associe également à une entreprise de cybersécurité tierce pour auditer et améliorer les protocoles de sécurité.

La violation de données de Slickwraps démontre l’importance des tests de pénétration pour tout site traitant des données clients. Les violations de données sont quasiment impossibles à éviter de nos jours, mais les clients peuvent se protéger quelque peu en utilisant des mots de passe uniques pour chaque site et en utilisant une authentification à deux facteurs le cas échéant.

