阿迪達斯在線商店的數據洩露達數百萬

Adidas Data Breach

像FIFA世界杯這樣的大型體育賽事對運動服裝製造商來說非常重要。數以百萬計的眼球專注於佩戴產品的人,對品牌的關注是巨大的。上週,阿迪達斯,這個行業的名字之一,出於各種錯誤的原因引起了人們的注意。

6月26日,這名德國體育設備巨頭與一名聲稱偷走了一些阿迪達斯客戶“有限”數據的人聯繫。調查已經展開,安全漏洞顯然已經堵塞。幾天后,阿迪達斯發布了新聞稿 。讓我們分解它,看看我們可以從中收集什麼。

好消息

調查仍在進行中,但阿迪達斯很快指出,沒有公開信用卡或其他財務信息,這絕對是一件好事。在分析公告後,我們可以找到證據表明阿迪達斯負責任地處理這一事件。

該公司的IT團隊要求安全專家和執法機構幫助他們調查問題並降低風險。該公告還指出,一旦他們確切知道發生了什麼,阿迪達斯將聯繫所有受影響的客戶。

不太好的消息

雖然我們可以找到一兩件好事,但阿迪達斯的聲明太短暫且缺乏信息。事實上,調查尚未結束,但新聞稿無法幫助我們了解事件的嚴重程度。在媒體的調查下,代表們確實表示數百萬 ”美國客戶可能受到影響。這不是一個確定的數字,它可能會改變,但公平地說,阿迪達斯本可以做得更糟,而不是把它放在新聞稿中,只是為了讓人們知道事情有多糟糕。

新聞稿中解釋什麼類型的數據被盜的部分也存在問題。我們已經看到了我們公平分享的數據洩露公告,我們可以肯定地說,很多寫這些公告的人並不完全清楚“加密密碼”和“哈希密碼和鹽漬密碼”之間的區別。如果那些人沒有線索,用戶也會陷入困境。

這就是阿迪達斯給我們的:“ 根據初步調查,有限的數據包括聯繫信息,用戶名和加密密碼。

如果我們假設密碼確實是加密的,那麼我們就有壞消息。使用可逆加密保護消費者密碼不是一個好主意 。讓我們來看一個更樂觀的場景。

想像一下現場:阿迪達斯正在準備公告,公關人員正在與安全專家交談以了解發生的事情:

安全專家: 密碼被哈希和鹽漬,所以人們沒有什麼可擔心的。
公關人員: 哈希和什麼?
安全專家: 告訴他們密碼是加密的. 人們自動將加密與安全相關聯。
公關人員: 聽起來不錯。

誠然,這是基於營銷人員不了解密碼存儲原理的假設,這可能是完全錯誤的。即使我們理所當然地認為阿迪達斯是一家注重安全客戶密碼的安全公司,我們仍然無法告訴別人他們是安全的。尤其是因為有許多哈希算法,有些比其他算法更安全。我們無法猜測阿迪達斯使用了哪一個(如果有的話)。

新聞稿中的措辭讓客戶別無選擇,只能在阿迪達斯的美國商店更改密碼。如果它在其他網站上重複使用,也應該在那裡進行更改。由於他們的電子郵件地址可能已經曝光,因此阿迪達斯的客戶也應該警惕網絡釣魚攻擊。

無論喜歡與否,數據洩露現在都是我們在線生活的一部分,您應該知道在數據洩露時您需要做什麼。正如您所看到的,這包括在公司的事件後新聞稿中發現一些令人難以置信的措辭。

May 20, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 3是什麼?