Hackernews 编译，转载请注明出处：

Adafruit 披露了一个数据泄露事件，这个事件是由于一个可公开查看的 GitHub 存储库引起的。

该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。

Adafruit 总部位于纽约市，自2005年以来一直是开源硬件组件的供应商。该公司设计，制造和销售电子产品，工具和配件。

前雇员的 GitHub 储存库拥有真实的客户数据

On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included:

3月4日，星期五，Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括:

• 名字
• 邮件地址
• 运输/帐单地址
• 订单详情
• 支付程序或PayPal上的订单状态

根据 Adafruit 的说法，这些数据集不包含任何用户密码或信用卡等财务信息。然而，包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和 *** 钓鱼者用来攻击 Adafruit 的客户。

有趣的是，数据泄漏并不是来自 Adafruit 的 GitHub 存储库，而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。

该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内，就与这名前雇员取得联系，删除了相关的 GitHub 存储库，Adafruit 团队开始了检测程序，以确定是否有任何访问权限，以及哪类数据被影响了。”

用户需要正确的通知

目前，Adafruit 并不知道这些暴露的信息被对手滥用，并声称其披露这一事件是为了“透明度和责任感”。

然而，该公司决定不向每一位用户发送这一事件有关的电子邮件。

Adafruit 解释说，尽管所有的安全信息都公布在公司的博客和安全页面上，但用户并没有采取任何行动，因为数据集中没有显示任何密码或支付卡信息。

“我们评估了风险，咨询了我们的隐私律师和法律专家，并采取了我们认为合适的解决问题的 *** ，同时保持公开和透明，我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。

But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident:

但是，并不是所有的 Adafruit 用户都信服了，他们提出了自己的需求:

用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息，而不是使用自动生成的“假”临时数据，以及这些信息如何被 *** 钓鱼者滥用:

值得注意的是，在 GitHub 存储库中保存真实的客户数据，即使是私有的存储库，也是十分危险的。

去年，电子商务巨头 Mercari 遭遇了一起数据泄露事件，这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录，其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露，影响到了“一小部分客户”。

Adafruit 表示: “此外，我们正在实施更多的协议和访问控制，以避免未来可能出现的任何数据曝光，并限制员工培训使用的访问权限。”

用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。

消息来源：BleepingComputer，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于 *** ；
转载请注明“转自 HackerNews.cc ” 并附上原文