CafePress最终成功应对海量数据泄露

现在，许多人都知道，流行的T恤和商品零售商CafePress在2019年初遭受了重大数据泄露。在7月，一个名为We Leak Info的Twitter帐户的追随者了解了此事，几周后，当安全专家特洛伊·亨特（Troy Hunt）掌握数据时，这一消息进一步传播开来。

正如我们当时所提到的 ，该事件发生在2月，事件规模很大，受影响的帐户约为2300万。泄漏的数据还包括诸如物理地址之类的详细信息，据Troy Hunt称，转储中的密码没有得到很好的保护。鉴于所有这些，CafePress的行为确实很奇怪。

没有官方声明，尽管有很多记者试图发表评论，但该零售商还是保持沉默。一些用户说他们被迫更改了密码，但显然他们被告知该操作是由新的密码策略而非数据泄露触发的。

现在，特洛伊·亨特（Troy Hunt）将数据库加载到“我被拥有了”数据库中，已经有一个多半月了，而信息被盗后仅七个多月，CafePress终于公开承认它遭受了数据泄露。

CafePress客户开始通过电子邮件接收数据泄露通知

上周，CafePress开始发送电子邮件，通知“尊贵的客户”“数据安全事件”，其中涉及他们的个人信息。零售商对此泄漏事件深表歉意，并进一步阐明了此事。但是够了吗？

根据在社交媒体上分享的截图 ，用户被告知可能涉及个人信息，包括姓名，电子邮件地址和密码。人们确信数据已移至“不同的环境”，但建议在可能仍处于活动状态的任何其他在线服务中更改其CafePress帐户使用的密码。该电子邮件还指出，用户应“保持警惕”，并注意任何身份盗用迹象。

许多收到通知的人对此并不特别满意。他们中的一些人对他们的密码以一种似乎是可检索的格式存储的事实感到非常沮丧（通知没有提供确切的存储机制的详细信息）。其他人则认为，这类信息不应该来自“不回复”地址，大多数人都对零售商在违规事件发生半年多后才公开开放这一事实感到非常生气。但是，有些事情可能会使它们陷入更加黑暗的境地。

细节仍然很难找到

借助互联网的强大功能，我们可以了解到，在9月4日，大约第一个数据泄露通知开始袭击人们的收件箱之前，CafePress的律师向爱荷华州总检察长发送了一封正式信函[PDF] ，以公开通知该机构违反. 一天后，即9月5日，零售商在其网站上发布了专门针对此事件的页面。也提供针对英国 ， 加拿大和澳大利亚公民的版本，但是由于尚不明确的原因，找到它们并不是一件容易的事。在撰写本文时，CafePress的搜索引擎似乎无法提供此内容，据我们所知，尚未以任何方式与用户共享。不过，致爱荷华州检察长的信和难以找到的网页中的信息确实为我们提供了有关整个数据泄露的更多详细信息。

它使我们了解了受影响个人的地理位置。显然，全球有超过2200万人受到袭击，其中包括45万澳大利亚人，约49.5万加拿大人和略多于100万的欧盟公民（其中88万居住在英国）。除了名称，电子邮件地址和密码外，违反CafePress安全性的“身份不明的第三方”还设法窃取了某些信用卡的后四位数字和有效期以及诸如社会安全和税号等敏感信息（包括相当于加拿大，澳大利亚和英国）。值得庆幸的是，在所有受影响的个人中，只有大约1％的人暴露了诸如社会保险号等详细信息，并且他们都将获得CafePress支付的身份盗窃保护费。

致爱荷华州总检察长的信中说，8月6日，CaféPress“发现”其客户的个人数据“据称是出售并在暗网上提供”。零售商的安全人员可能不会对此“发现”感到惊讶，因为根据同一份文件，3月13日，他们处理了受影响数据库中的安全漏洞。当时，他们发现“没有法医证据”表明信息已被盗，但在2019年4月15日，他们仍然为尝试登录其帐户的每个人都强制重置了密码。因此，该文件指出“因此，在此事件期间可能获得的密码从2019年4月15日起不再有效”。

即使我们假设是这种情况，我们也不能忽略人们一直在重复使用密码的事实。我们也不能忽略CafePress并未以最透明的方式处理该问题。