编辑:左右里
美国联邦贸易委员会(FTC)已命令个性化礼品定制电子商务平台CafePress 的前所有者Resiled Pumpkin Entity支付50万美元的罚款,因其在影响超过2300万客户的数据泄露事件以及其他数据安全性问题中处理不当。据消费者保护监管机构解释说,Resiled Pumpkin Entity以纯文本形式存储其客户的社会安全号码和密码重置答案,并且数据保留时间超出必要。该公司也未能应用有效的保护措施并响应安全事件。在其服务器多次遭到攻击破坏后,它还试图掩盖其草率的安全措施导致的重大数据泄露事件。根据起诉书,该次数据泄露事件发生在2019年2月,一名身份未知的黑客利用该公司的安全故障访问了:数百万个加密程度较弱的电子邮件地址和密码;
数百万个未加密名称、物理地址以及安全问题和答案;
超过180000个未加密的社会安全号码;
数以万计的信用卡号和有效期限。
据称,CafePress试图掩盖这一大规模数据泄露事件,并没有就违规行为发表声明。直到2019年9月,才通知受影响的个人。当时显露出问题的唯一迹象是让用户在登录时重置密码(没有提到数据泄露)。并且,该公司松懈的安全措施仍然使许多消费者面临风险。例如,该公司在事件发生后仍允许用户通过安全问题来重置网站上的密码,而这些信息已遭黑客窃取。CafePress甚至在2019年数据泄露事件之前就知道它存在数据安全问题。根据FTC的起诉,该公司早已发现其一些店主的帐户至少自2018年1月以来已经受到损害。但CafePress并没有告知受害者实情,而是关闭了他们的账户,并向每个人收取了25美元的账户关闭费。根据最终确定的命令,除了支付50万美元的罚款外,Resiled Pumpkin Entity和PlanetArt(CAfePress的新所有者)还被要求实施全面的信息安全计划,包括实施多因素身份验证,最大限度地减少收集和保留的数据量,并加密所有存储的社会安全号码。资讯来源:Federal Trade Commission
转载请注明出处和本文链接
指由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只需要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或者控制其他角色拥有的数据或页面,达到权限提升的目的。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458456133&idx=3&sn=b858d6a67110e51fe4d21e67d82b6162&chksm=b18e20cf86f9a9d9b8833bb5a77dffdd2d7e2bd9fcd5b3265d6243bcc97c3fc02e4d4b354039#rd
如有侵权请联系:admin#unsafe.sh