Serangan 'serangan phishing' penting hanyalah amalan e-mel yang ceroboh [andy rubin merespon]

Kemas kini 2: CEO Essential Andy Rubin telah mengesahkan bahawa slip semalam adalah kerana salah susun atur dengan salah satu e-mel penjagaan pelanggan. Syarikat itu telah melumpuhkan akaun tertentu, dan menambah perlindungan untuk mencegah kejadian serupa di masa depan:

Semalam, kami membuat kesilapan dalam fungsi penjagaan pelanggan kami yang mengakibatkan maklumat peribadi daripada kira-kira 70 pelanggan dikongsi dengan sekumpulan kecil pelanggan lain. Kami telah melumpuhkan akaun yang tidak disengajakan dan telah mengambil langkah secara dalaman untuk menambah perlindungan terhadap perkara ini lagi pada masa akan datang. Kami dengan tulus meminta maaf atas kesilapan kami dan akan menawarkan pelanggan yang terjejas satu tahun dari LifeLock. Kami juga akan terus melabur lebih banyak dalam infrastruktur dan penjagaan pelanggan kami, yang hanya akan menjadi lebih penting apabila kami berkembang.

Menjadi pengasas dalam perniagaan yang kompetitif bermakna anda sekali-sekala perlu makan gagak. Ia memalukan, ia tidak bagus, dan sering kali ia menjadi pengalaman yang merendahkan diri. Sebagai pengasas Essential dan CEO, saya bertanggungjawab atas kesilapan ini dan akan berusaha sebaik mungkin untuk tidak mengulanginya.

Saya tetap bersemangat dan bermotivasi dengan sokongan sokongan yang Essential telah mengalami sejak melancarkan syarikat itu pada 30 Mei. Kami terus mempercayai secara mendalam dalam visi kami dan inovasi yang kami hidupkan menerusi produk Home, Phone dan 360 Camera kami. Saya dengan rendah hati mengucapkan terima kasih kepada pelanggan dan rakan saluran kami untuk kesabaran dan pemahaman anda ketika kami meneruskan peluncuran produk pertama kami.

Kemas kini: Nampaknya Essential mempunyai kesilapan konfigurasi perisian sokongan pelanggan mereka (Zendesk dalam kes ini) yang menyebabkan e-mel menjadi buta disalin (BCC:) kepada semua orang di dalam senarai mel pelanggan yang diperlukan untuk memberikan maklumat lanjut. Laporan lain mengenai caj penipuan dan pangkalan data pelanggan yang dikompromi masih belum disahkan.

Telefon Essential akhirnya akan keluar kepada pelanggan selepas kelewatan yang panjang, tetapi syarikat itu tidak dilakukan dengan bahagian kontroversinya lagi. E-mel yang keluar kepada pelanggan dari akaun sokongan Essential ([email protected]) adalah meminta maklumat tambahan dalam bentuk ID foto untuk memproses penghantaran. Walaupun alamat itu sendiri sah, nampaknya pelanggan syarikat telah disasarkan oleh serangan pancingan data.

Berdasarkan jawapan kepada benang Reddit, penggodam itu menemui jalan masuk ke pelayan surat syarikat. Inilah e-mel keseluruhannya:

Hai, Pasukan semakan pesanan kami memerlukan maklumat pengesahan tambahan untuk menyelesaikan pemprosesan pesanan terbaru anda.

Pengesahan ini dilakukan untuk melindungi daripada penggunaan maklumat pembayaran anda yang tidak dibenarkan dan sama dengan apa yang dilakukan untuk pembelian orang dalam.

Sila berikan e-mel alternatif dan nombor telefon untuk mengesahkan pembelian ini..

Kami ingin meminta gambar ID foto (misalnya lesen pemandu, ID negeri, pasport) dengan jelas menunjukkan foto, tandatangan, dan alamat anda. NOTA: alamat pada ID sepadan dengan alamat bil yang disenaraikan pada pesanan terkini anda.

Kami memohon maaf atas ketidakselesaan dan menghargai kerjasama anda. Setelah disahkan, kami tidak sabar-sabar untuk menghantar pesanan anda.

Terima kasih!

Penjagaan penting Produk Penjagaan Pelanggan

Untuk bahagiannya, Essential telah menyebut bahawa ia telah mengambil langkah-langkah untuk "mengurangkan isu:"

Kami menyedari & melihat e-mel baru-baru ini yang diterima oleh sesetengah pelanggan. Kami telah mengambil langkah-langkah untuk mengurangkan & akan mengemaskini dengan maklumat lanjut tidak lama lagi.

- Perlu (@ penting) 30 Ogos 2017

Adakah anda menerima e-mel dari Essential meminta mengesahkan maklumat?