28 岁的 Xavier Lur 作为 Twitter 上的网红人物最近发布的内容让人震撼。2022 年 5 月 28 日,Xavier Lur 上传了一系列 Instagram 故事,详细介绍了他成功尝试从两家公司提取个人信息的尝试。
“令人担忧的是,有许多品牌没有认真对待客户的个人数据。”
并分享了当地时尚品牌 Love, Bonito 在其网站添加恶意代码后,客户信息泄露的事件。
2022 年 5 月 24 日,也就是泄露事件发生大约两年后,这家时尚品牌向客户通报称,他们的数据安全系统已经进行了“重大改进”,此外还不断重新评估他们的 IT 框架和流程。
(图片来源网络)
提取信息时,Xavier Lur 只检索了自己的信息。他补充说,安全漏洞也已在两个月前向这些公司报告。
Lur“黑入”的第一家公司是在新加坡和海外市场都有业务的“知名品牌”。
据他介绍,任何拥有“基本技术知识”的人都可以访问其客户的数据,例如姓名、电话号码、出生日期和电子邮件。并附带了一张Xavier Lur个人信息模糊不清的屏幕截图。
也可以提取整个客户信息数据库并将它们存储在一个文件中,尽管 Xavier Lur没有尝试这样做。
除该公司外,新加坡在个人数据保护方面的“主要机构”个人数据保护委员会(PDPC) 也已收到有关安全漏洞的警告。
第二家公司也是“本土知名品牌”。
这种情况似乎稍微严重一些,因为它与财务方面有关。
由于客户的 MPGS(万事达卡支付网关服务)用户名和密码暴露在公司的 Android 应用程序(任何人都可以下载)中,因此有可能发生几件事,正如Xavier Lur通过几个示例所说明的那样。
(图片来源网络)
例如,黑客或第三方可以:使用客户保存的信用卡触发未经授权的交易。
新加坡网络安全局 (CSA) 执行长 David Koh 此前曾解释过 ,自满可能导致新加坡人将现实安全和网络安全混为一谈。
虽然新加坡是一个生活相对安全的国家,但人们可能会“错误地将我们相对良好的现实安全与网络安全等同起来”。
他补充说,当人们成为现实领域犯罪的受害者时,人们会立即知道,但可能不会立即意识到个人甚至财务信息已被盗。
(图片来源网络)
我们不会直接感受到对自己的影响,因为即使你的数据丢失了也不会察觉,因为你仍然拥有你的数据,黑客已经将你的数据复制了出去。然而在现实领域,如果你丢了钱包,你就真的丢了它。