Slickwrapsの顧客情報が流出。セキュリティ研究者からの警告を無視

 iPhone、Macなどの端末用スキンを制作するSlickwrapsの顧客情報が流出したことが明らかになりました。
 
Slickwrapsのデーターベースに侵入したハッカーは、370,000人を超えるユーザーにメールを送信し、同社のセキュリティの脆弱性を暴露しました。

Slickwraps、Lynx氏より何度か警告を受ける

情報が流出するより以前、Twitter上でLynxと名乗るセキュリティ研究者が、Slickwrapsのサイトの虚弱性をTwitter上で何度も指摘していました。Mediumの記事によるとLynx氏は、2月15日に起きた情報流出の危険性についてSlickwrapsへ警告を繰り返していました。
 
現在、その内容について書かれている記事はMediumのサイト上から削除され、SlickwrapsはLynx氏からのメールを無視、さらにTwitterでLynx氏をブロックしています。
 
Mediumの記事は削除されているため、Lynx氏とSlickwrapsが実際にどのようなやり取りをしたのかは不明です。しかし、顧客情報が流出するより以前に、セキュリティの虚弱性について何度も警告されていたにもかかわらず、Slickwrapsがそれを無視していたのは紛れもない事実です。
 
Slickwrapsの顧客にメールを送信したのはLynx氏ではなく第三者です。しかし、Mediumの同社の記事は削除され、ツイートも全て削除されています。

Slickwraps、情報流出後にコメント

 
メールが送信され顧客情報流出が発覚した後、Slickwrapsはコメントを出しました。同社はLynx氏から2月22日の情報漏洩についての警告を受けたのは、2月21日であると主張し、日付を訂正してツイートしています。
 
Slickwrapsのコメント：
 

ユーザーからの信頼よりも価値のあるものはありません。事実、私たち全てのビジネスモデルは、リピーターとの長期的な信頼関係に依存しています。
 
その信頼を裏切るようなミスを犯したため、このような形でコメントしています。
 
2月21日、第三者がデータベースに不正にアクセスしたことにより、非実働データベースの一部の情報が流出しました。
 
流出した情報には、ユーザーの名前、メールアドレスが含まれていましたが、パスワードや個人の財務データは含まれていませんでした。
 
ゲストとしてサインインしている場合は、情報は一切、流出していません。

 
同社は今後、セキュリティプロセスを強化し、従業員へのセキュリティガイドラインの伝達方法を改善し、ユーザーから要望されたセキュリティ機能の追加を最優先事項にすると述べています。
 
さらに、サードパーティーのセキュリティ会社と連携して、セキュリティプロトコルの監査と改善を行っていると発表しています。
 
Slickwrapsの情報流出は、顧客情報を扱うサイトにおける侵入テスト(ペネトレーションテスト)を実施する重要性を示しています。
 
情報流出を完全に回避するのはほとんど不可能ですが、顧客は固有のパスワードを使用して、必要に応じて二要素認証を利用することにより、ある程度は情報を守る事が出来ます。
 
 
Source:MacRumors
Photo:Slickwraps
(m7000)