WD 承认被骇泄漏客户个人资料，甚至包含信用卡号码…

苹果技巧 • 2023年9月24日 15:17 • 投稿

Western Digital（WD）针对最近发生的一起未经授权的第三方（unauthorized third party）声称已经盗取 WD 内部约 10TB 包含客户资料的档案，并勒索巨额赎金的黑客事件。 WD 在与资安专家得进一步调查之后，确认的确有客户的资料在此次资安问题中被泄漏… 继续阅读 WD 承认被骇泄漏客户个人资料，甚至包含信用卡号码… 报道内文。

▲图片来源：Western Digital

WD 承认被骇泄漏客户个人资料，甚至包含信用卡号码…

不得不说 WD 最近出的包真的不少。而且还是软硬件都接连发生问题 – 产线搞砸高达 650 万 TB 的闪存不说，先前 WD NAS 爆 0-day 漏洞的问题，居然针对有些旧产品采取的策略是无法补洞，建议只能买新的方式处理。

事实上，也有媒体发现，WD My Cloud 四月初发生中断十天的问题 – 后来才知道，这与接下来要提到的事件应该有所关联，甚至到现在他们的线上商店也仍在停摆状态。

WD 承认被骇泄漏客户个人资料，甚至包含信用卡号码... - 电脑王阿达 ▲图片来源：Western Digital

这次针对客户数据库的资安问题，虽然发布新闻稿的反应还算快。但从 4/3 提到有这个事件之后，直到 1 个月后，我们才看到了 WD 官方针对泄漏的数据的进一步报告 – 对了，做为参考这个事件发生的时间是 3/26。

▲图片来源：Western Digital

“This information included customer names, billing and shipping addresses, email addresses and telephone numbers. In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers. We will communicate directly with impacted customers.”

相对于先前仅有针对被骇事件提出确认，却没有公布众多用户最担心的，自己的个资到底泄漏的程度到哪的相关信息。这次，WD 则是又发出新闻稿，更新了这次事件泄漏的范围。新闻稿中提到，这次的数据库资料泄漏的范围为 WD 的线上商店数据库。提到未经授权的第三方取走的信息包括客户的姓名、账单地址、送货地址、Email与电话号码资料。此外，还有被加密的密码数据以及部分信用卡号码 – 真的是… 有点夸张。

至于黑客声称拥有 WD 的「代码签名证书（ code-signing certificate）」数据这点。该公司则是强调虽然调查仍在进行当中，但提到他们确认已经掌控了相关的凭证资源。不过还是提醒用户若要从非可信来源的位置下载应用时需要时刻留意可能的资安问题。现阶段则是将会在调查发现问题时，立刻积极地停止相关的服务来因应。也会主动联系受影响的客户。