LifeLock Bug：數以百萬計的電子郵件地址被公開

我們已經在這些頁面上討論過身份 盜竊 保護 ，我們希望能幫助您了解服務提供的內容，不提供的內容以及在哪些情況下對您有益。今天，我們需要再次談論身份盜竊保護，但這次，原因會有所不同。

LifeLock成立於十三年前，由賽門鐵克擁有，是身份盜竊保護服務的提供商。 Nathan Reese是一名自由安全研究員，幾年前顯然使用了LifeLock，他最近注意到他仍然收到電子郵件，敦促他續訂他的訂閱。他做了許多人會做的事 - 他點擊了“取消訂閱”鏈接。當你試圖停止使用特定的在線服務時，他被帶到了你經常進行的那種營銷調查，這就是Reese的注意力被激發的地方。

他注意到地址欄中的URL以“ subscriberkey = ”結尾，後跟一個八位數字。他試圖更改號碼，並且，他看到他最後在另一個用戶的“取消訂閱”頁面上顯示了他們的電子郵件地址。好奇，Reese編寫了一個簡單的腳本，通過一系列數字自動生成，並且在任何時候，他都有大約70個LifeLock客戶的電子郵件地址。

然後他與Brian Krebs取得了聯繫，後者又與LifeLock聯繫，幾小時後問題就解決了。後來，克雷布斯公開宣布了這個故事 ，雖然它現在已經過去了，但它仍然引起了一些爭議。

不是每個人似乎都同意這個錯誤有多糟糕

上週五，賽門鐵克發布了一份聲明 ，如果標題可以解決，應該解釋他們如何解決問題。實際上，它只是感謝Brian Krebs的負責任披露，並試圖暗示這個問題並不嚴重。

他們指出，“取消訂閱”系統由第三方管理，只暴露其客戶的電子郵件地址。他們還表示，除了Reese收集的70封電子郵件之外，他們沒有證據表明有更多的數據被收穫。確實，這個bug沒有暴露任何特別敏感的信息，但這並不意味著LifeLock應該輕易放過。

首先，身份盜竊保護公司未能確保其客戶數據的諷刺是不可否認的. 還可以說，LifeLock所描述的“錯誤配置”實際上是一個嚴重的設計缺陷，可能導致一個簡單卻極其有效的資源枚舉攻擊，可以收集數百萬人的電子郵件地址。當然，這一切都將以大型魚叉式釣魚活動結束，第三方管理易受攻擊的系統的論點並不真正有用，因為在一天結束時，人們用LifeLock信任他們的數據，不是一個尚未命名的第三方。

Telefonica是西班牙最大的電信供應商之一，在不到兩週前發現其係統存在類似的缺陷 。它允許更多的信息被洩露，但我們認為LifeLock的面孔可能只是一個陰影，因為這是一個肯定應該知道更好的公司。