Adafruit 披露了由于可公开查看的 GitHub 存储库而发生的数据泄漏。

该公司怀疑这可能允许在 2019 年或之前“未经授权访问”有关某些用户的信息。

Adafruit 总部位于纽约市，自 2005 年以来一直是开源硬件组件的生产商。该公司设计、制造和销售电子产品、工具和配件。

前雇员的 GitHub 存储库有真实的客户数据

3 月 4 日星期五，Adafruit 宣布一个可公开访问的 GitHub 存储库包含一个数据集，其中包含一些用户帐户的信息。这些信息包括：

据 Adafruit 称，该数据集不包含任何用户密码或信用卡等财务信息。但是，垃圾邮件发送者和网络钓鱼攻击者可能会利用真实用户数据（包括订单详细信息）的曝光来瞄准 Adafruit 的客户。

有趣的是，数据泄露并非来自 Adafruit 的 GitHub 存储库，而是来自一名前员工。似乎一名前员工在其 GitHub 存储库中使用真实的客户信息进行培训和数据分析操作。

“在收到有关无意披露的通知后 15 分钟内，Adafruit 与前员工合作，删除了相关的 GitHub 存储库，并且 Adafruit 团队开始了取证过程，以确定哪些以及是否有任何访问权限以及涉及什么类型的数据，”公司解释道。

用户需要适当的通知

目前，Adafruit 并不知道暴露的信息被对手滥用，并声称它正在“为了透明度和问责制”而披露这一事件。

但是，该公司已决定不向每个用户发送有关此事件的电子邮件。 更新：本报告发布后，Adafruit 已修改其立场，现在表示它确实会向用户发送电子邮件。

“我们感谢社区和客户的反馈，并将通过电子邮件向用户发送作为本披露的一部分。对于没有在 2022 年 3 月 4 日星期五发布/披露的同时这样做，我们深表歉意，”该公司表示.

Adafruit 解释说，尽管所有安全披露都发布在公司的博客和安全页面上，但用户无需执行任何操作，因为数据分析集中没有暴露密码或支付卡信息。

“我们评估了风险并咨询了我们的隐私律师和法律专家，并采取了我们认为适当缓解任何问题的方法，同时保持公开和透明，并且不认为直接发送电子邮件在这种情况下有帮助，”Adafruit 的董事总经理 Phillip Torrone，而创始人 Limor “Ladyada” Fried 此前曾表示。

但是，并不是所有的 Adafruit 客户都相信，我们会就该事件发送一些要求很高的电子邮件通知：