CafePress最終成功應對海量數據泄露

現在，許多人都知道，流行的T恤和商品零售商CafePress在2019年初遭受了重大數據洩露。在7月，一個名為We Leak Info的Twitter帳戶的追隨者了解了此事，幾週後，當安全專家特洛伊·亨特（Troy Hunt）掌握數據時，這一消息進一步傳播開來。

正如我們當時所提到的 ，該事件發生在2月，事件規模很大，受影響的帳戶約為2300萬。洩漏的數據還包括諸如物理地址之類的詳細信息，據Troy Hunt稱，轉儲中的密碼沒有得到很好的保護。鑑於所有這些，CafePress的行為確實很奇怪。

沒有官方聲明，儘管有很多記者試圖發表評論，但該零售商還是保持沉默。一些用戶說他們被迫更改了密碼，但顯然他們被告知該操作是由新的密碼策略而非數據洩露觸發的。

現在，特洛伊·亨特（Troy Hunt）將數據庫加載到“我被擁有了”數據庫中，已經有一個多半月了，而信息被盜後僅七個多月，CafePress終於公開承認它遭受了數據洩露。

CafePress客戶開始通過電子郵件接收數據洩露通知

上週，CafePress開始發送電子郵件，通知“尊貴的客戶”“數據安全事件”，其中涉及他們的個人信息。零售商對此洩漏事件深表歉意，並進一步闡明了此事。但是夠了嗎？

根據在社交媒體上分享的截圖 ，用戶被告知可能涉及個人信息，包括姓名，電子郵件地址和密碼。人們確信數據已移至“不同的環境”，但建議在可能仍處於活動狀態的任何其他在線服務中更改其CafePress帳戶使用的密碼。該電子郵件還指出，用戶應“保持警惕”，並註意任何身份盜用跡象。

許多收到通知的人對此並不特別滿意。他們中的一些人對他們的密碼以一種似乎是可檢索的格式存儲的事實感到非常沮喪（通知沒有提供確切的存儲機制的詳細信息）。其他人則認為，這類信息不應該來自“不回复”地址，大多數人都對零售商在違規事件發生半年多後才公開開放這一事實感到非常生氣。但是，有些事情可能會使它們陷入更加黑暗的境地。

細節仍然很難找到

借助互聯網的力量，我們可以了解到，在9月4日，大約第一個數據洩露通知開始襲擊人們的收件箱之前，CafePress的律師向愛荷華州總檢察長發送了一封正式信函[PDF] ，以公開通知該機構違反. 一天后，即9月5日，零售商在其網站上發布了專門針對此事件的頁面。也提供針對英國 ， 加拿大和澳大利亞公民的版本，但是由於尚不明確的原因，找到它們並不是一件容易的事。在撰寫本文時，CafePress的搜索引擎似乎無法提供此內容，據我們所知，尚未以任何方式與用戶共享。不過，致愛荷華州檢察長的信和難以找到的網頁中的信息確實為我們提供了有關整個數據洩露的更多詳細信息。

它使我們了解了受影響個人的地理位置。顯然，全球有超過2200萬人受到襲擊，其中包括45萬澳大利亞人，約49.5萬加拿大人和略多於100萬的歐盟公民（其中88萬居住在英國）。除了名稱，電子郵件地址和密碼外，違反CafePress安全性的“身份不明的第三方”還設法竊取了某些信用卡的後四位數字和有效期以及諸如社會安全和稅號等敏感信息（包括相當於加拿大，澳大利亞和英國）。值得慶幸的是，在所有受影響的個人中，只有大約1％的人暴露了諸如社會保險號等詳細信息，並且他們都將獲得CafePress支付的身份盜竊保護費。

致愛荷華州總檢察長的信中說，8月6日，CaféPress“發現”其客戶的個人數據“據稱是出售並在暗網上提供”。零售商的安全人員可能不會對此“發現”感到驚訝，因為根據同一份文件，3月13日，他們處理了受影響數據庫中的安全漏洞。當時，他們發現“沒有法醫證據”表明信息已被盜，但在2019年4月15日，他們仍然為嘗試登錄其帳戶的每個人都強制重置了密碼。因此，該文件指出“因此，在此事件期間可能獲得的密碼從2019年4月15日起不再有效”。

即使我們假設是這種情況，我們也不能忽略人們一直在重複使用密碼的事實。我們也不能忽略CafePress並未以最透明的方式處理該問題。