文|荔闽 编辑|Vicky Xiao
今天,湾区不少人可能都在因为一封奇怪的邮件心神不宁。
不少人在各大社区上分享称,自己在凌晨时分收到了来自北美中餐外卖平台 Chowbus 的群发邮件,邮件里居然是可以打包下载的用户和餐馆的私密信息。
邮件的主题是 “ Chowbus 数据”,正文里则写着“这里可以下载 Chowbus 数据”,并附上了两个链接,打开链接后可以看到 Chowbus 上多家餐馆的信息,包括姓名、地址、电话和餐馆的佣金率,以及用户数据,包括了姓名、注册邮箱、密码(未明文)、电话和住址。
图片来源:Reddit
根据硅谷在线社区一亩三分地上用户的帖子,有人对信息做了去重整理,此次泄露的餐馆信息大约 4000 条,用户信息 803350 行数据,去重后大约包括 44 万真实的用户数据,影响范围包括芝加哥、纽约、波士顿、费城、西雅图等地。
不少人发帖称,经过比对,里面自己的数据都是真实的。这也意味着,多达44万用户的数据被泄露了出来。
不少用户在得知消息后,询问最敏感的银行卡信息是否也被泄露,Chowbus 客服称,公司使用的是第三方支付服务 - Stripe ,信用卡和交易信息是储存在第三方平台,因此并未泄露。
目前,邮件中的下载链接已经被停用。但是不少用户在试图修改密码时才发现,App 里甚至没有“修改密码”的按钮,只能通过询问客服来找到修改密码的办法。
官方也没有就此次用户信息泄露事件道歉。截止到发稿时,关于信息泄露的原因,以及影响范围,后续如何解决,Chowbus 官方都未有具体的信息和措施。
在论坛的留言里,大多数用户对于 Chowbus 的做法表示失望和不满,毕竟此次泄露的信息非常详细,尤其是包含真实的电话和地址。除了支付信息之外,绝大多数用户更担心的是后续的信息安全,例如是否会收到大量的垃圾邮件或者是诈骗电话,是否可能被不法分子使用相应的信息进行人肉,以及居住安全等等问题。
“收到了 Chowbus 的解释邮件,压根没道歉是怎么回事。“
”同被泄露…包括以前用过、已经被删除的地址。保存用户明确已经删除的信息难道不违反GDPR或者CCPA吗?“
”收到邮件了,一句道歉没有。还说thankfully信用卡信息没有丢失。我是不能接受的。“
来自网站uscreditcardguide.com的留言
还有人表示,担忧的是,这次算是对华人群体highly specific的数据泄露。
不少人指出,Chowbus 客服回复和官方Twitter都只是在反复强调信用卡信息未泄露、以及安全团队很快地采取措施禁用了链接,而未对其他问题进行说明,更没有对已经被泄露信息的用户表达歉意。
Chowbus 官方客服的回复
硅星人身边一些 Chowbus 的用户选择第一时间删除了在 Chowbus 上的支付信息,并与银行联系挂失相应的信用卡。此外,还有用户选择永久性地删除了在 Chowbus 上的账号,并且修改注册邮箱的登录密码,以及修改其他使用该邮箱作为注册账号的密码。
有人表示,虽然邮件里的下载链接已经被禁用,但是已经有不少人在禁用前就下载了信息,再加上黑客有可能把信息通过其他方式流传出去,影响不可谓不大。知乎上有用户已经在收集相关的材料,用于后续的维权。
硅星人在第一时间联系了 Chowbus,公司表示目前技术和法务部门已经着手调查此次的用户数据泄露事件,但是关于具体的原因暂时还不清楚,后续会第一时间公布进展和相应的解决措施。同时, Chowbus 强调在发现用户数据泄露的第一时间已经加强了措施保护数据安全。
Chowbus 是一家位于北美的外卖平台,由由两位中国留学生温林鑫和张肃羽于 2016 年创立,主打以中餐为主的亚洲菜,用户多为在美生活的华人,目前已覆盖纽约、波士顿、芝加哥、洛杉矶、旧金山、西雅图、温哥华、多伦多等 20 多个北美城市。2020 年 7 月,Chowbus 完成了 A 轮 3300 万美元的融资。
声明:本文来自硅星人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。