Klantgegevens Slickwraps buitgemaakt door datalek - update

Slickwraps, een telefoonaccessoiremerk uit de Verenigde Staten, is getroffen door een grootschalige hack waarbij onder andere de adresgegevens en e-mailadressen van klanten zijn buitgemaakt. Het lek werd ontdekt door een security-onderzoeker.

Op vrijdag werd een e-mail verstuurd naar alle klanten van SlickWraps, met daarin een waarschuwing dat het bedrijf is gehackt. In iedere afzonderlijke mail stonden daarnaast de adresgegevens van de ontvanger. In de mail staat dat er niets wordt gedaan met de gelekte persoonsgegevens, maar tegelijkertijd wordt gesteld dat 'iedereen hetzelfde kan doen'. Verschillende Twitter-gebruikers melden dat ze de mail hebben ontvangen.

SlickWraps heeft inmiddels een statement uitgebracht over de hack. Het bedrijf roept gebruikers op om hun wachtwoorden te wijzigen, en geeft aan dat er geen 'persoonlijke financiële gegevens' en wachtwoorden zijn buitgemaakt. Het bedrijf geeft daarnaast aan dat het de vergissing betreurt, en stelt dat '[SlickWraps]' van deze fout zal leren'.

De datalek werd ontdekt door Twitter-gebruiker Lynx0x00, die details over de hack deelde op blogplatform Medium. Lynx0x00 stuitte op een lek in de SlickWraps-website waarmee 'iedereen met de juiste toolkit' bestanden kan uploaden naar de root van de webserver. De onderzoeker uploadde een .htaccess-bestand, waarna de hacker toegang kreeg tot de cv's van SlickWraps-werknemers en 9GB aan persoonlijke foto's van gebruikers.

Ook kon door het lek shell-commands uitgevoerd worden, waarna de hacker toegang kreeg tot de complete MySQL-database van 17GB. In deze database vond Lynx0x00 de accountdetails van SlickWraps-admins, inclusief wachtwoordhashes. Ook stuitte de security-onderzoeker op adresgegevens, telefoonnummers, en ruim 377.000 e-mailadressen van SlickWraps-klanten. Verder kreeg de hacker toegang tot de api-credentials voor onder andere Twitter, Facebook, PayPal en betaalplatform Braintree. De hacker kon ook bij de Zendesk-omgeving van SlickWraps, waarmee het bedrijf zijn klantenservice regelt.

Lynx0x00 kreeg toegang tot het adminpaneel van SlickWraps. Afbeelding via Lynx0x00

Doordat Lynx0x00 toegang had tot de e-mailadressen van admins, kreeg de hacker na het resetten van wachtwoorden toegang tot het SlickWraps Slack-team en transactielogboeken en saldo's op PayPal en Braintree. Ook bleek dat het content management-systeem van SlickWraps werd beveiligd met een 'nutteloze firewall'. De hacker voegde zichzelf toe als admin, waarna de gebruiker naar eigen zeggen 'het complete bedrijf had kunnen verwijderen'.

Lynx0x00 geeft aan via meerdere kanalen contact te hebben opgenomen met SlickWraps, maar het bedrijf bleek niet bereikbaar voor commentaar. Zo stuurde de security-onderzoeker e-mails naar de klantenservice van SlickWraps, en uploadde de hacker een tekstbestand met daarin de tekst 'Lynx@RLSec was here'. "Binnen elf minuten na het uploaden van het tekstbestand, werd ik geblokkeerd op Twitter."

Inmiddels zegt de hacker kortstondig contact te hebben gehad met het bedrijf, maar inmiddels opnieuw geblokkeerd te zijn nadat de security-onderzoeker een e-mail stuurde naar de ceo van SlickWraps. Lynx0x00 heeft op zijn beurt contact opgenomen met de maker van haveibeenpwned, een website waarop gebruikers kunnen nakijken of ze zijn getroffen door datalekken.

Tweakers heeft geprobeerd contact op te nemen met het bedrijf, maar het e-mailadres van SlickWraps is inmiddels niet meer in gebruik.

Update, 20:15: Slickwraps heeft inmiddels een statement uitgebracht over de hack. Het artikel is hierop aangepast.

Door Daan van Monsjou

Redacteur

Feedback • 21-02-2020 19:56
42 • submitter: Adeleet

21-02-2020 • 19:56

42 Linkedin

Submitter: Adeleet

Lees meer

Gebruikers Edison Mail hadden toegang tot andermans postvakken Nieuws van 17 mei 2020
Marketingbedrijf openbaart per ongeluk 49 miljoen persoonlijke gegevens Nieuws van 29 februari 2020
'Datalek hotelketen MGM treft 9800 Nederlanders' Nieuws van 21 februari 2020
Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwetsbaarheid Nieuws van 22 januari 2020
Walibi doet toch geen aangifte tegen melder van datalek Nieuws van 18 oktober 2019
Datalek bij Chinese slimmecamerafabrikant treft 14.000 exemplaren in Nederland Nieuws van 21 september 2019
Meer producten en artikelen
Webdevelopment Websites en communities Privacy Datalek Hack

Reacties (42)

-Moderatie-faq
42
42
25
4
0
10
Wijzig sortering
AnonymousWP
21 februari 2020 20:10
Op Twitter hebben ze een statement uiteen gezet: https://twitter.com/SlickWraps/status/1230929725192839170

CC: @AverageNL

[Reactie gewijzigd door AnonymousWP op 21 februari 2020 20:11]

AuteurAverageNL
@AnonymousWP21 februari 2020 20:12
Ik pas het artikel aan, bedankt voor het melden! :)
_Bailey_
@AnonymousWP21 februari 2020 20:16
ah, een reactie van het bedrijf zelf. Bedankt voor de twitter link

Blijf het wel bijzonder vinden dat de CEO nu na de verzonden email wel ineens van zich laat horen. In eerste instantie negeren ze de mogelijke data breach (melding op 16 februari al gemaakt)

[Reactie gewijzigd door _Bailey_ op 21 februari 2020 20:22]

SpoekGTi
@AnonymousWP21 februari 2020 20:24
Ja maar als je dus niet op de mailing lijst staat in je account krijg je dus die mail niet so far voor je we hebben alle klanten gemaild

En sowieso klopt de datum van het lek niet wanneer ze het geconstateerd hebben ze waren er al eerder op gewezen en er niets mee gedaan
baasbas2
21 februari 2020 20:41
Nog leuker detail, ze draaien op een verouderde Magento versie waar diverse security patches niet geïnstalleerd zijn: https://www.magereport.co...tps://www.slickwraps.com/
tunnelforce1
@baasbas221 februari 2020 21:09
Kun je ze dan aanklagen voor nalatigheid ?
RCFProd
@tunnelforce121 februari 2020 23:14
Heel dit bedrijf is erg nalatig dus het past wel bij ze. Mensen moeten een terugbetaalverzoek indienen als ze hun bestelling überhaupt willen ontvangen. Anders bestel je wat en is er na 2 weken nog niks gedaan, ook reageren ze niet op vragen over een bestelling.
dakathefox
@tunnelforce122 februari 2020 09:53
Zolang jij geen schade hebt ondervonden, valt er ook weinig aan te klagen natuurlijk.
MiesvanderLippe
@dakathefox22 februari 2020 10:12
In Nederland zou hier duidelijk een zaak zijn. Super nalatig en alle gegevens die het bedrijf (onterecht) bezat zijn gelekt.
TheVivaldi
@MiesvanderLippe22 februari 2020 11:55
Maar die gegevens bestaan juridisch helemaal niet: https://blog.iusmentis.co...idisch-betekent-praktijk/
Groningerkoek
21 februari 2020 21:08
Aangezien de originele posts op Medium onbereikbaar zijn hier een archive.

https://web.archive.org/w...-this-is-how-8b0806358fbb
e.dewaal
@Groningerkoek22 februari 2020 02:12
http://archive.is/yEIJT
En hier een archief inclusief afbeeldingen.
AuteurAverageNL
@Groningerkoek22 februari 2020 12:23
Ik heb de link in het artikel vervangen. Bedankt! Ook aan @e.dewaal
bvnmss
21 februari 2020 20:23
Ik kreeg op 24 januari al de volgende mail als antwoord op een vraag ivm een verzending:

Hello,

Slickwraps is a Scam. They will never care about your question. Your Issue will never get solved. Better buy from Dbrand or XtremeSkins or Color Ware.

For more Info Check this Subreddit

https://www.reddit.com/r/Slickwraps_Is_Scam/

My Email: sbenchoof@gmail.com

My Twitter: https://twitter.com/silconwaki

Regards

Zain

(P.S Slickwraps CEO aka Joathan Endicott and Slickwraps's Social Media manager aka Azhar, both are fucking Scammers)

Dbrand if you are seeing this then contact me, There is alot to tell you.

Thanks. Again Fuck you Slickwraps

Later op de dag kreeg ik de volgende mail:

Hey,

We are aware of the recent email that had gone out. We have been hacked, and as I type this to you we are fixing the problem.We stopped them from going any further than the ticket responses, so no customer data was accessed. We assure you everything is alright. We apologize for this inconvenience.

Geen slickwraps voor mij meer voorlopig. De ene keer dat ik er besteld heb heb ik me gewoon aangemeld als guest (heb de mail waarnaar verwezen wordt ook niet ontvangen). Hoop hier verder geen last meer van te hebben. Heb mijn bestelling wel netjes ontvangen trouwens.

[Reactie gewijzigd door bvnmss op 21 februari 2020 20:28]

_Bailey_
21 februari 2020 20:00
ik heb dus 2 emails ontvangen waarin deze (mogelijk enorme) data breach wordt onthuld.
Ik ben echt een n00b wat dit betreft; maar wat is het beste nu te doen? Inloggen in mijn SlickWraps account en gauw al mijn data als CC verwijderen of juist nog even niets doen?
REDSD
@_Bailey_21 februari 2020 20:12
Kan geen kwaad, maar als de data al gestolen is lost het niks op.

Shell toegang geeft iemand ook meteen de mogelijkheid om alles in te zien,encryptionkeys, wachtwoorden als plaintext opslaan, alles is mogelijk.

Als hij daarbij ook op hun bedrijfsnetwerk kon komen, hij had inderdaad in 1 klap het hele bedrijf kunnen vernietigen waarschijnlijk.
Anoniem: 310408
@REDSD21 februari 2020 20:40
wachtwoorden als plaintext opslaan,
Als die wachtwoorden gehashed zijn is dat absoluut niet mogelijk, als ze niet gehashed zijn hoef je ze niet als plaintext op te slaan.

Er is op dit moment geen enkele reden om aan te nemen dat er wachtwoorden buitgemaakt zijn. Als jij andere informatie hebt, deel dat AUB. Maar later we geen fud verspreiden over dit soort dingen.Shell toegang is zeer kwalijk maar hoeft NIET te betekenen dan de wachtwoorden te lezen zijn.
DrBreakalot
@Anoniem: 31040821 februari 2020 23:27
Als er shelltoegang was had een hacker gewoon het loginscript kunnen aanpassen en de wachtwoorden plaintext kunnen doorsturen bij elke inlogpoging.
Het HOEFT het niet te betekenen, maar alles is mogelijk
REDSD
@Anoniem: 31040822 februari 2020 09:10
Het is puur speculatie inderdaad, maar slickwraps is geen onbekende speler, als één hacker shell toegang kon krijgen is het goed mogelijk dat meer mensen dat konden.
Het zou kunnen zijn dat de wachtwoorden van iedereen die heeft ingelogd de afgelopen tijd zijn buitgemaakt en daarom is het misschien wel slim om daarvan uit te gaan.
xzenor
@Anoniem: 31040823 februari 2020 20:29
Als er geen salt gebruikt is dan zijn die hashes bijna net zo erg als plain text. Er staat nergens of dit het geval is maar ik wil aangeven dat hashes niet per definitie veilig zijn.
_Bailey_
@REDSD21 februari 2020 20:14
ik probeer in te loggen op mijn SlickWraps account. Ik kan er niet eens meer in. Hij herkent mijn email adres niet eens meer.
Dit terwijl ik dus wel vanmiddag 2 afzonderlijke emails heb ontvangen.

Denk dat ik voor nu maar even moet stoppen om proberen toch toegang te krijgen tot mijn data
JapyDooge
@_Bailey_21 februari 2020 20:07
Dat zou ik in ieder geval doen; een eventuele vervolghack heeft dan mogelijk niet meer de beschikking over deze gegevens.

Controleer daarnaast of je hetzelfde wachtwoord ook nog ergens anders gebruikte (en reset die) en indien er inderdaad afdoende betaalinformatie voorhanden is bij SlickWraps dan zou ik de relevante aanbieders van je bijv. CC / PayPal / je bank ook op de hoogte stellen.
_Bailey_
@JapyDooge21 februari 2020 20:09
thanks! ga eens goed mijn wachtwoorden bij de diverse sites checken.
Snake
@_Bailey_21 februari 2020 22:32
Bel naar de bank, zeg dat je je CC hebt gebruikt op een website die een data-breach heeft gehad.
Ze zullen dan onmiddelijk een nieuwe kaart opsturen.

De kosten om een nieuwe kaart te versturen zijn zo minimaal ten opzichte van de minimale kans dat jouw creditcard wordt gebruikt in het wild.
_Bailey_
@Snake21 februari 2020 22:49
Ja, ga morgenochtend maar eens de bank bellen. Goeie tip, dankje.
Q
@_Bailey_23 februari 2020 11:42
Mocht je het wachtwoord wat je voor deze site hebt gebruikt ook elders inzetten zou ik dat wachtwoord overal even wijzigen in iets anders.

De wachtwoorden zijn nog niet gekraakt maar dat komt wel.
_Bailey_
@Q23 februari 2020 11:44
thanks! heb al flink geknutseld aan mijn diverse wachtwoorden
Executor16
21 februari 2020 23:51
Heel toevallig heb ik daar vorige week voor het eerst een bestelling geplaatst maar heb hierbij geen account aangemaakt. "Create an account for later use" niet aangevinkt en dus geen password hoeven in te vullen. Ik vraag mij af of gegevens van alleen bestellingen zonder accounts in dezelfde database zaten als de gehackte accounts data.
ACM
@Executor1622 februari 2020 09:14
Ga daar maar vanuit, want het is heel onpraktisch om twee losse databases bij te houden.
Met database bedoel ik hier zowel de software (in dit geval MySQL) die uiteindelijk de data van en naar disk schrijft als de plek waar die dat dan wegschrijft (die directory van 17GB); het is wel mogelijk dat binnen die database de informatie van die twee typen gebruikers los van elkaar werd opgeslagen... maar dat zal je niet helpen als er simpelweg een kopie gemaakt kon worden van de volledige opslag :)

Het is verder ook aannemelijk dat ze niet twee compleet losse bestelprocedures hebben uitgewerkt; dus het concept 'bestelling' of 'betaling voor bestelling' zal waarschijnlijk al niet meer gescheiden zijn.
dakathefox
@Executor1622 februari 2020 09:54
Ik zie dat Slickwraps gebruik maakt van Magento. Magento slaat de ordergegevens inderdaad op in dezelfde database als de logingegevens.
Executor16
@dakathefox22 februari 2020 11:07
Het lijkt er wel op dat alleen accounthouders gemailed zijn dan. Ik heb vooralsnog niets gehoord van beide partijen.
rvdlaar
21 februari 2020 20:07
ik heb iig mijn ww gewijzigd.
Sowieso verstandig om je CC/Paypal na betaling weer te ontkoppelen.
Overigens van Slickwraps heb ik niets vernomen per mail. Raar dat ze niet automatisch gelijk alle ww's resetten.
beezjeh
21 februari 2020 20:17
Waardeloze bedrijf.

Laatste keer iets verkeerd besteld.
Direct een mail gestuurd met de vraag om mijn bestelling te annuleren.
Krijg ik een reactie terug van eenmaal geplaatst kun je niet annuleren staat in onze voorwaarden enzovoort.

Ik hierop antwoorden van is mij in het verleden één keer eerder gebeurd en toen was het geen probleem.
Ze bleef erbij en dus ik dacht laat ook maar.

Twee weken verder en mijn bestelling was nog steeds opgestuurd dus nogmaals een verzoek ingediend waarop geen reactie op terug kwam.

Uiteindelijk een case geopend via PayPal en ook daar geen reactie van hun richting PayPal waarop ik mijn geld terug kreeg.
Kort hierna werd item alsnog verstuurd dus er gaan meer dingen niet goed daar zogezegd.

Maar tot nu toe mijn bestellingen altijd met PayPal checkout afgerekend dus ga er vanuit dat ik save ben......
Ik heb dan ook nooit een email ontvangen van iemand namelijk.

Edit: lees net in hun statement op Twitter dat er bij guests kopers niks aan de hand is :)

[Reactie gewijzigd door beezjeh op 21 februari 2020 20:23]

ajolla
@beezjeh21 februari 2020 20:21
Daarom bestel ik zo mogelijk ook altijd 'CoD', cash on delivery.
Kwam laatst goed uit, een pakketje kwam beschadigd aan, zag ik zo aan de buitenkant al, en heb 't gewoon geweigerd. Eigenlijk is de procedure dat je zoiets ontvangt en dan terugstuurt maar ze zoeken 't maar uit hoor.

Overigens nooit 'voor het gemak' je CC gegevens bij anderen stallen.
Alles is lek Lek LEK, zo lek als een mandje, en 't komt op een gegeven moment gewoon op straat te liggen. Niet doen. Gewoon níet doen.
bloq
@beezjeh22 februari 2020 19:56
Dat is wat ze beweren. Er is echter een storm aan reacties van guest bestellers die ook de mail hebben gehad. Zag er ook een tussen van een persoon die op de maillijst was gezet na een guest-bestelling en toen hij hierover klaagde vertelde de medewerker dat er intern alsnog een soort 'account' van je word aangemaakt.
njitter
21 februari 2020 20:56
Vind persoonlijk dat deze 'hacker' wel lang doorgegaan is met snuffelen in systemen. Hij had z'n punt ook wel eenvoudiger kunnen maken.
Groningerkoek
@njitter21 februari 2020 21:31
Is vrij normaal om te zien wat er allemaal fout zit en niet om zodra je een ingang vind die ingang te laten verhelpen waarbij de rest wagenwijd open blijft staan.
SpoekGTi
21 februari 2020 20:09
Sowieso is hello@slickwraps geen geldig mail adres he jongens die heeft die security onderzoeker alleen als afzender gebruikt ik neem aan dat je nog wel de reguliere hebt geprobeerd ook dus de info en de support@slickwraps.com

Overigens was ik ook een van degene die een mailtje kreeg en ze hebben geen optie tot het deleten van de account en er lijken dus inderdaad nu al meerdere partijen met de juiste tools bezig te zijn, desalniettemin heb ik net mijn contact gegevens etc in garbage vervangen
Executor16
@SpoekGTi21 februari 2020 23:53
In een bevestigingsmail van een bestelling staat dit: "If you have any questions about your order, please contact us at hello@slickwraps.com or by visiting our support page."
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee