Vinyylikuoria puhelimille valmistava Slickwraps ilmoitti viime viikolla tietomurrosta, The Verge kirjoittaa. Sitä ennen Slickwrapsin asiakkaat olivat saaneet yhtiön nimissä lähetetyn sähköpostiviestin, jossa ilmoitettiin, että käyttäjien asiakasdata oli varastettu.

Datan varastaminen pyrittiin todistamaan käyttäjille kertomalla, mitä tietoja heistä oli varastettu. Eräs käyttäjä on julkaissut saamansa sähköpostiviestin Twitterissä.

Koomisen surkea tietoturva

Lynx0x00-nimellä kulkeva, itseään kyberturvallisuusanalyytikoksi kutsuva hakkeri kertoo, että hän huomasi Slickwrapsin tietoturvapuutteet erään Twitter-julkaisun kautta jo tammikuussa. Julkaisussa kerrottiin, että Slickwrapsin järjestelmät oli hakkeroitu jo kerran, mutta yhtiö ei ollut tehnyt mitään asiakaspalvelun tai turvallisuutensa parantamiseksi.

Suivaantunut Lynx0x00 päätti tutkia mahdollisia haavoittuvuuksia lähemmin, ja löysikin nopeasti Slickwraps-suojakuorten räätälöintiin tarkoitetuilta verkkosivuilta suuren tietoturva-aukon.

Oikeita työkaluja käyttämällä Lynx0x00 pääsi aluksi käsiksi Slickwrapsin entisten ja nykyisten työntekijöiden tietoihin sekä tiedostoon, joka sisälsi 9 Gt:n edestä käyttäjien lataamia kuvia. Kuvat oli ladattu puhelimen kuorien suunnittelua varten, ja jotkut niistä sisälsivät myös pornografista materiaalia.

Myöhemmin Lynx0x00 pääsi käsiksi kaikkiin admin-tileihin, yhtiön sähköpostiin, asiakastietoihin sekä muun muassa PayPal-maksujen suorittamiseen tarkoitettuihin api-rajapintoihin.

Sähköpostin kautta hän pääsi vielä jäseneksi yhtiön sisäiseen Slack-kanavaan sekä sai pääsyn yhtiön tilitietoihin. Hän pystyi lisäämään itselleen myös admin-oikeudet.

Yritti ilmoittaa asiasta – tuli blokatuksi

Lynx0x00 kertoo, että tässä kohtaa hän olisi voinut poistaa koko yhtiön maailmankartalta. Hän kuitenkin päätti ilmoittaa löydöksistään Slickwrapsille Twitterissä. Ilmoituksen jälkeen Slickwraps blokkasi hänen tilinsä.

Lynx0x00 lähestyi Slickwrapsia ja sen toimitusjohtajaa vielä monella eri keinolla. Yhtiö teki kuitenkin kaikkensa poistaakseen tiedot hakkeroinnista, mutta ei korjatakseen haavoittuvuutta, Lynx0x00 kirjoittaa.

Tämän jälkeen yhtiön asiakkaat saivat sähköpostiviestit, joissa heidän tietonsa julkaistiin. Sopii arvailla, kuka mahtoi olla viestien takana.

Slickwrapsin toimitusjohtaja Jonathan Endicott julkaisi tiistaina anteeksipyyntövideon Twitterissä. Hän kertoo videolla, että yhtiö on alkanut kehittää uutta verkkosivustoa ja uutta suojakuorten räätälöintisivua, jonka se aikoo julkaista tänä vuonna.