阿迪达斯在线商店的数据泄露达数百万
像FIFA世界杯这样的大型体育赛事对运动服装制造商来说非常重要。数以百万计的眼球专注于佩戴产品的人,对品牌的关注是巨大的。上周,阿迪达斯,这个行业的名字之一,出于各种错误的原因引起了人们的注意。
6月26日,这名德国体育设备巨头与一名声称偷走了一些阿迪达斯客户“有限”数据的人联系。调查已经展开,安全漏洞显然已经堵塞。几天后,阿迪达斯发布了新闻稿 。让我们分解它,看看我们可以从中收集什么。
好消息
调查仍在进行中,但阿迪达斯很快指出,没有公开信用卡或其他财务信息,这绝对是一件好事。在分析公告后,我们可以找到证据表明阿迪达斯负责任地处理这一事件。
该公司的IT团队要求安全专家和执法机构帮助他们调查问题并降低风险。该公告还指出,一旦他们确切知道发生了什么,阿迪达斯将联系所有受影响的客户。
不太好的消息
虽然我们可以找到一两件好事,但阿迪达斯的声明太短暂且缺乏信息。事实上,调查尚未结束,但新闻稿无法帮助我们了解事件的严重程度。在媒体的调查下,代表们确实表示 “ 数百万 ”美国客户可能受到影响。这不是一个确定的数字,它可能会改变,但公平地说,阿迪达斯本可以做得更糟,而不是把它放在新闻稿中,只是为了让人们知道事情有多糟糕。
新闻稿中解释什么类型的数据被盗的部分也存在问题。我们已经看到了我们公平分享的数据泄露公告,我们可以肯定地说,很多写这些公告的人并不完全了解“加密密码”和“哈希和盐渍密码”之间的区别。如果那些人没有线索,用户也会陷入困境。
这就是阿迪达斯给我们的:“ 根据初步调查,有限的数据包括联系信息,用户名和加密密码。 ”
如果我们假设密码确实是加密的,那么我们就有坏消息。使用可逆加密保护消费者密码不是一个好主意 。让我们来看一个更乐观的场景。
想象一下现场:阿迪达斯正在准备公告,公关人员正在与安全专家交谈以了解发生的事情:
安全专家: 密码被哈希和盐渍,所以人们没有什么可担心的。
公关人员: 哈希和什么?
安全专家: 告诉他们密码是加密的. 人们自动将加密与安全相关联。
公关人员: 听起来不错。
诚然,这是基于营销人员不了解密码存储原理的假设,这可能是完全错误的。即使我们理所当然地认为阿迪达斯是一家注重安全客户密码的安全公司,我们仍然无法告诉别人他们是安全的。尤其是因为有许多哈希算法,有些比其他算法更安全。我们无法猜测阿迪达斯使用了哪一个(如果有的话)。
新闻稿中的措辞让客户别无选择,只能在阿迪达斯的美国商店更改密码。如果它在其他网站上重复使用,也应该在那里进行更改。由于他们的电子邮件地址可能已经曝光,因此阿迪达斯的客户也应该警惕网络钓鱼攻击。
无论喜欢与否,数据泄露现在都是我们在线生活的一部分,您应该知道在数据泄露时您需要做什么。正如您所看到的,这包括在公司的事件后新闻稿中发现一些令人难以置信的措辞。