Adafruit披露了由于可公開檢視的GitHub存儲庫而發生的資料洩漏。
該公司懷疑這可能允許在2019年或之前"未經授權通路"有關某些使用者的資訊。
Adafruit總部位于紐約市,自2005年以來一直是開源硬體元件的生産商。該公司設計、制造和銷售電子産品、工具和配件。
前員工的 GitHub 存儲庫具有真實的客戶資料
3月4日星期五,Adafruit宣布,一個可公開通路的GitHub存儲庫包含一個資料集,其中包含一些使用者帳戶的資訊。這些資訊包括:
- 名字
- 電子郵件位址
- 送貨/賬單位址
- 訂單詳情
- 通過付款處理器或PayPal下單狀态
根據Adafruit的說法,該資料集不包含任何使用者密碼或信用卡等财務資訊。但是,真實使用者資料的暴露(包括訂單詳細資訊)可能會被垃圾郵件發送者和網絡釣魚行為者用于針對Adafruit的客戶。
有趣的是,資料洩漏不是來自Adafruit的GitHub存儲庫,而是來自一名前員工。似乎一位前員工正在使用真實的客戶資訊在其GitHub存儲庫中進行教育訓練和資料分析操作。
"在收到有關無意披露的通知後的15分鐘内,Adafruit與前員工合作,删除了相關的GitHub存儲庫,Adafruit團隊開始了驗證過程,以确定什麼以及是否有任何通路權限以及涉及什麼類型的資料,"該公司解釋說。
使用者要求适當的通知
目前,Adafruit并不知道暴露的資訊被對手濫用,并聲稱它正在披露該事件"為了透明度和問責制"。
然而,該公司決定不向每個使用者發送有關該事件的電子郵件。
Adafruit解釋說,盡管所有安全披露都釋出在公司的部落格和安全頁面上,但由于資料分析集中沒有暴露密碼或支付卡資訊,是以使用者無需執行任何操作。
"我們評估了風險,并咨詢了我們的隐私律師和法律專家,并采取了我們認為适當緩解任何問題的方法,同時保持開放和透明,并且不相信在這種情況下直接發送電子郵件是有幫助的,"Adafruit董事總經理Phillip Torrone和創始人Limor "Ladyada" Fried說。
但是,并非所有Adafruit客戶都相信,并發送了一些關于該事件的要求電子郵件通知:
使用者最關心的問題是,在前團隊成員的 GitHub 存儲庫中存在真實的客戶資訊,而不是使用自動生成的"假"暫存資料。以及,這些資訊如何被網絡釣魚行為者濫用:
值得注意的是,将真實的客戶資料儲存在GitHub存儲庫中,即使是私有資料,也是一個冒險的決定。
去年,電子商務巨頭Mercari通過其私人GitHub存儲庫遭受了資料洩露,暴露了超過17,000條客戶記錄,包括銀行資訊。Rapid7還通過私有GitHub存儲庫遭受了資料洩漏,影響了"一小部分客戶"。
"我們還在實施更多的協定和通路控制,以避免未來可能的資料洩露,并限制員工教育訓練使用的通路,"Adafruit說。
使用者應保持警惕,以防他們可能收到的冒充Adafruit員工的任何網絡釣魚詐騙或通信。該公司特别警告不要發出虛假的"密碼重置"警報,這些警報可能會誘使受害者洩露密碼。
Adafruit要求将與任何此類可疑電子郵件或威脅行為者未經授權的通路嘗試相關的問題引導至 [email protected]。