在线拍卖网站“完全失败了客户”


“广播销售古董,艺术和收藏品的现场拍卖的在线网站警告说,在安全违约之后,用户详细信息已经落入未经授权的手中,” reported by 格雷厄姆克鲁雷 上个星期。

通知 Liveauceeers网站 states, “截至2020年7月11日,我们的网络安全团队已证实,未经授权的第三方通过在2020年6月19日的李特遗传学数据处理合作伙伴处通过安全漏洞访问某些用户数据。”

exfiltrated的数据似乎是:

  • 名称
  • 电子邮件地址
  • 邮寄地址
  • 电话号码
  • 加密密码

格雷厄姆指出,安全研究报告说,在宽容的义务宣布前一天,有人在地下论坛上出售,拍卖网站的340万用户的细节,以及三百万破解的用户名/密码组合。

Point3安全提供的专家透视

ChloéMessdaghi,战略VP point3安全 (www.ittesahuman.com.),

该公司完全失败了客户。我去了网站并开始了一个最简单的密码的帐户:密码。然后,我立即要求输入我的信用卡数据。没有2FA,没有较长和强密码的请求,上下案例,符号或字母。鉴于参与其中一些艺术拍卖的主要款项,其客户应该期望最佳安全性。这本身意味着他们将自己设置为失败并将客户设置为失败。

这是一个令人失望的事实:很多面向消费者的公司甚至银行仍然不需要更好的密码,例如超过30个字符,甚至没有2系列认证要求。此外,您可以下载Liveaultions应用程序,然后他们的网站不安全感流到您的设备 - 谁知道恶意软件是否可以遵循?谁知道是否,当Liveautions更新其网站时,它还更新其应用程序,反之亦然?

致命是拍卖数万美元的拍卖。当然,他们可以投资一点让消费者知道他们的密码过于薄弱并推回让他们重新评估。

当公司不投资安全性时,他们正在强迫客户改变信用卡,并还要重新考虑与公司的关系。 投资安全性和公司自身稳定是如此重要。

LiveauceEs作为投标人和拍卖账户的重置密码,并发布了以下建议:

gurucul ceo评论道

Gurucul的首席执行官Saryu Nayyar

账户妥协攻击继续净利润到网络犯罪分子。您应该始终为您触摸的每个应用程序和系统使用唯一的用户名和密码。希望,LiveAutioneer客户没有为任何其他系统或应用程序重用其用户名/密码组合。谈到保护企业资产时,识别账户妥协或账户收纳的最佳方式是行为分析。网络犯罪分子可以窃取凭证,但他们无法窃取行为。当行为发生异常时,那么你知道某些东西是不对劲的,可以主动采取修复行动来阻止连续网络攻击。

李凡的用户可以做些什么

  • 访问 //www.liveauctioneers.com/ 并单击右上角的“登录”
  • 单击登录窗口上的“忘记密码”
  • 输入您的电子邮件地址,然后单击“发送重置指令”
  • 检查您的电子邮件并按照提供以重置密码的链接

如果您已经登录,请单击右上角的用户图标下拉列表,然后单击“帐户设置”。从这里,单击“更改密码”。

为了帮助您的信息安全,我们建议以下安全措施:

  • 我们建议您更改任何其他在线帐户的密码,您将使用与您的Liveauctioners帐户使用相同或相似的密码。
  • 查看您的帐户以获取可疑活动。
  • 对任何未经请求的通信都要谨慎,要求您的个人信息。
  • 避免点击链接或从可疑电子邮件下载附件。

STEVEN Bowcut,CPP,PSP是一个屡获殊荣的新闻工作者,涵盖网络和物理安全。他是一家华晨安全杂志的编辑和作家,以及其他安全和非安全在线出版物。跟随和连接史蒂夫 推特, Facebook, Instagram., 和 linkedin.