Western Digital(WD)針對最近發生的一起未經授權的第三方(unauthorized third party)聲稱已經盜取 WD 內部約 10TB 包含客戶資料的檔案,並勒索巨額贖金的駭客事件。WD 在與資安專家得進一步調查之後,確認的確有客戶的資料在此次資安問題中被洩漏… 繼續閱讀 WD 承認被駭洩漏客戶個人資料,甚至包含信用卡號碼… 報導內文。
▲圖片來源:Western Digital
WD 承認被駭洩漏客戶個人資料,甚至包含信用卡號碼…
不得不說 WD 最近出的包真的不少。而且還是軟硬體都接連發生問題 – 產線搞砸高達 650 萬 TB 的快閃記憶體不說,先前 WD NAS 爆 0-day 漏洞的問題,居然針對有些舊產品採取的策略是無法補洞,建議只能買新的方式處理。
事實上,也有媒體發現,WD My Cloud 四月初發生中斷十天的問題 – 後來才知道,這與接下來要提到的事件應該有所關聯,甚至到現在他們的線上商店也仍在停擺狀態。
▲圖片來源:Western Digital
這次針對客戶資料庫的資安問題,雖然發布新聞稿的反應還算快。但從 4/3 提到有這個事件之後,直到 1 個月後,我們才看到了 WD 官方針對洩漏的資料的進一步報告 – 對了,做為參考這個事件發生的時間是 3/26。
▲圖片來源:Western Digital
“This information included customer names, billing and shipping addresses, email addresses and telephone numbers. In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers. We will communicate directly with impacted customers.”
相對於先前僅有針對被駭事件提出確認,卻沒有公布眾多使用者最擔心的,自己的個資到底洩漏的程度到哪的相關資訊。這次,WD 則是又發出新聞稿,更新了這次事件洩漏的範圍。新聞稿中提到,這次的資料庫資料洩漏的範圍為 WD 的線上商店資料庫。提到「未經授權的第三方」取走的資訊包括客戶的姓名、帳單地址、送貨地址、Email 與電話號碼資料。此外,還有被加密的密碼資料以及部分信用卡號碼 – 真的是… 有點誇張。
至於駭客聲稱擁有 WD 的「程式碼簽章憑證( code-signing certificate)」資料這點。該公司則是強調雖然調查仍在進行當中,但提到他們確認已經掌控了相關的憑證資源。不過還是提醒使用者若要從非可信來源的位置下載應用時需要時刻留意可能的資安問題。現階段則是將會在調查發現問題時,立刻積極地停止相關的服務來因應。也會主動聯繫受影響的客戶。