图片1

Adafruit 披露了前员工 GitHub 储存库中的数据泄露

  • 浏览次数 57666
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

图片1

Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。

该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。

Adafruit 总部位于纽约市,自2005年以来一直是开源硬件组件的供应商。该公司设计,制造和销售电子产品,工具和配件。

前雇员的 GitHub 储存库拥有真实的客户数据

On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included:

3月4日,星期五,Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括:

  • 名字
  • 邮件地址
  • 运输/帐单地址
  • 订单详情
  • 支付程序或PayPal上的订单状态

根据 Adafruit 的说法,这些数据集不包含任何用户密码或信用卡等财务信息。然而,包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。

有趣的是,数据泄漏并不是来自 Adafruit 的 GitHub 存储库,而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。

该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内,就与这名前雇员取得联系,删除了相关的 GitHub 存储库,Adafruit 团队开始了检测程序,以确定是否有任何访问权限,以及哪类数据被影响了。”

用户需要正确的通知

目前,Adafruit 并不知道这些暴露的信息被对手滥用,并声称其披露这一事件是为了“透明度和责任感”。

然而,该公司决定不向每一位用户发送这一事件有关的电子邮件。

Adafruit 解释说,尽管所有的安全信息都公布在公司的博客和安全页面上,但用户并没有采取任何行动,因为数据集中没有显示任何密码或支付卡信息。

“我们评估了风险,咨询了我们的隐私律师和法律专家,并采取了我们认为合适的解决问题的方法,同时保持公开和透明,我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。

But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident:

但是,并不是所有的 Adafruit 用户都信服了,他们提出了自己的需求:

8b08bd882bcff25a5987ebb4c6d9862

用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息,而不是使用自动生成的“假”临时数据,以及这些信息如何被网络钓鱼者滥用:

e2fff354097cf680052432ea31f5348

值得注意的是,在 GitHub 存储库中保存真实的客户数据,即使是私有的存储库,也是十分危险的。

去年,电子商务巨头 Mercari 遭遇了一起数据泄露事件,这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录,其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露,影响到了“一小部分客户”。

Adafruit 表示: “此外,我们正在实施更多的协议和访问控制,以避免未来可能出现的任何数据曝光,并限制员工培训使用的访问权限。”

用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。

 

消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文