LifeLock Bug:数以百万计的电子邮件地址被公开
我们已经在这些页面上讨论过身份 盗窃 保护 ,我们希望能帮助您了解服务提供的内容,不提供的内容以及在哪些情况下对您有益。今天,我们需要再次谈论身份盗窃保护,但这次,原因会有所不同。
LifeLock成立于十三年前,由赛门铁克拥有,是身份盗窃保护服务的提供商。 Nathan Reese是一名自由安全研究员,几年前显然使用了LifeLock,他最近注意到他仍然收到电子邮件,敦促他续订他的订阅。他做了许多人会做的事 - 他点击了“取消订阅”链接。当你试图停止使用特定的在线服务时,他被带到了你经常进行的那种营销调查,这就是Reese的注意力被激发的地方。
他注意到地址栏中的URL以“ subscriberkey = ”结尾,后跟一个八位数字。他试图更改号码,并且,他看到他最后在另一个用户的“取消订阅”页面上显示了他们的电子邮件地址。好奇,Reese编写了一个简单的脚本,通过一系列数字自动生成,并且在任何时候,他都有大约70个LifeLock客户的电子邮件地址。
然后他与Brian Krebs取得了联系,后者又与LifeLock联系,几小时后问题就解决了。后来,克雷布斯公开宣布了这个故事 ,虽然它现在已经过去了,但它仍然引起了一些争议。
不是每个人似乎都同意这个错误有多糟糕
上周五,赛门铁克发布了一份声明 ,如果标题可以解决,应该解释他们如何解决问题。实际上,它只是感谢Brian Krebs的负责任披露,并试图暗示这个问题并不严重。
他们指出,“取消订阅”系统由第三方管理,只暴露其客户的电子邮件地址。他们还表示,除了Reese收集的70封电子邮件之外,他们没有证据表明有更多的数据被收获。确实,这个bug没有暴露任何特别敏感的信息,但这并不意味着LifeLock应该轻易放过。
首先,身份盗窃保护公司未能确保其客户数据的讽刺是不可否认的. 还可以说,LifeLock所描述的“错误配置”实际上是一个严重的设计缺陷,可能导致一个简单却极其有效的资源枚举攻击,可以收集数百万人的电子邮件地址。当然,这一切都将以大型鱼叉式钓鱼运动结束,第三方管理易受攻击的系统的论点并不真正有用,因为在一天结束时,人们用LifeLock信任他们的数据,不是一个尚未命名的第三方。
Telefonica是西班牙最大的电信供应商之一,在不到两周前发现其系统存在类似的缺陷 。它允许更多的信息被泄露,但我们认为LifeLock的面孔可能只是一个阴影,因为这是一个肯定应该知道更好的公司。