流行t恤和商品网站CafePress披露了一起数据泄露事件，泄露了2300万名顾客的个人信息。

该消息由数据泄露通知服务“我是否已被入侵”(Have I Been Pwned)公开报道。

亨特意识到地下有一个咖啡机倾倒的垃圾，于是请安全研究员吉姆·斯科特(Jim Scott)帮他找到。

最后，这对安全搭档在黑客论坛上发现了包含大约493,000个账户详细信息的转储文件。

根据Have I Been Pwned网站，CafePress在2019年2月被入侵，黑客访问了23205290名用户的个人信息。

这些公开的数据包括电子邮件地址、姓名、密码、电话号码和物理地址。

安全专家对该公司处理这起事件的方式提出了批评，其中一些人指出，该公司试图掩盖此次入侵。

James Scott告诉BleepingComputer，有一半的密码是用base64 SHA1编码的，这被认为是保护密码的一种非常弱的算法。

与剩余用户关联的记录包括用于通过Facebook和Amazon登录的第三方令牌。

作为对该事件的回应，CafePress强迫用户重置密码，但不承认存在安全漏洞。

最近，另一家公司，购买和销售限量版运动鞋、手表、手袋和街头服饰StockX的实时市场，在披露数据泄露前强制重置密码。

当然，这并不是管理数据泄露的最佳方式，首先要做的是向当局和受影响的用户报告该事件。

外媒报导地址：

https://securityaffairs.co/wordpress/89495/data-breach/cafepress-data-breach.html

转自：黑白之道