LifeLock Bug:数以百万计的电子邮件地址被公开

LifeLock Bug

我们已经在这些页面上讨论过身份 盗窃 保护 ,我们希望能帮助您了解服务提供的内容,不提供的内容以及在哪些情况下对您有益。今天,我们需要再次谈论身份盗窃保护,但这次,原因会有所不同。

LifeLock成立于十三年前,由赛门铁克拥有,是身份盗窃保护服务的提供商。 Nathan Reese是一名自由安全研究员,几年前显然使用了LifeLock,他最近注意到他仍然收到电子邮件,敦促他续订他的订阅。他做了许多人会做的事 - 他点击了“取消订阅”链接。当你试图停止使用特定的在线服务时,他被带到了你经常进行的那种营销调查,这就是Reese的注意力被激发的地方。

他注意到地址栏中的URL以“ subscriberkey = ”结尾,后跟一个八位数字。他试图更改号码,并且,他看到他最后在另一个用户的“取消订阅”页面上显示了他们的电子邮件地址。好奇,Reese编写了一个简单的脚本,通过一系列数字自动生成,并且在任何时候,他都有大约70个LifeLock客户的电子邮件地址。

然后他与Brian Krebs取得了联系,后者又与LifeLock联系,几小时后问题就解决了。后来,克雷布斯公开宣布了这个故事 ,虽然它现在已经过去了,但它仍然引起了一些争议。

不是每个人似乎都同意这个错误有多糟糕

上周五,赛门铁克发布了一份声明 ,如果标题可以解决,应该解释他们如何解决问题。实际上,它只是感谢Brian Krebs的负责任披露,并试图暗示这个问题并不严重。

他们指出,“取消订阅”系统由第三方管理,只暴露其客户的电子邮件地址。他们还表示,除了Reese收集的70封电子邮件之外,他们没有证据表明有更多的数据被收获。确实,这个bug没有暴露任何特别敏感的信息,但这并不意味着LifeLock应该轻易放过。

首先,身份盗窃保护公司未能确保其客户数据的讽刺是不可否认的. 还可以说,LifeLock所描述的“错误配置”实际上是一个严重的设计缺陷,可能导致一个简单却极其有效的资源枚举攻击,可以收集数百万人的电子邮件地址。当然,这一切都将以大型鱼叉式钓鱼运动结束,第三方管理易受攻击的系统的论点并不真正有用,因为在一天结束时,人们用LifeLock信任他们的数据,不是一个尚未命名的第三方。

Telefonica是西班牙最大的电信供应商之一,在不到两周前发现其系统存在类似的缺陷 。它允许更多的信息被泄露,但我们认为LifeLock的面孔可能只是一个阴影,因为这是一个肯定应该知道更好的公司。

May 20, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。