这个时尚和运动鞋交易平台在星期四向用户推出了一个密码重置电子邮件，引用了“系统更新”，但让用户感到困惑并争先恐后地寻找答案。StockX告诉用户，该电子邮件是合法的，而不是某些人怀疑的网络钓鱼电子邮件，但没有说明导致所谓的系统更新的原因或没有事先警告的原因。一位发言人最终告诉TechCrunch，该公司在其网站上“警告可疑活动”，但拒绝进一步置评。

但这不是全部真相。

一位未透露姓名的数据违规卖家联系了TechCrunch，声称黑客在5月份从网站上窃取了680多万条记录。卖方拒绝透露他们是如何获得数据的。

在一个黑暗的网络列表中，卖家将数据出售300美元。在撰写本文时，有人已经购买了数据。

卖方向TechCrunch提供了1,000条记录的样本。我们联系了客户并向他们提供了他们只能从他们的被盗记录中获知的信息，例如他们的真实姓名和用户名组合以及鞋码。每个回复的人都确认他们的数据是准确的。

被盗数据包含姓名，电子邮件地址，密码(被认为是使用MD5算法进行哈希处理)以及其他个人资料信息 - 例如鞋码和交易货币。数据还包括用户的设备类型，如Android或iPhone，以及软件版本。在每条记录中都发现了其他几个内部标志，例如用户是否被禁止，或者欧洲用户是否接受了公司的GDPR消息。

根据这些GDPR规则，一家公司可能因其违规行为被罚款高达其全球年度收入的4%。

在发布之前，发言人Katy Cockrel和StockX创始人Josh Luber都没有回复评论请求。留在发言人牢房的语音邮件未归还。周六晚发布的一份不可归属的声明证实了我们的报告，但公司没有回答我们的具体问题，包括为什么它在第一次得知数据泄露时没有通知客户，以及为什么在报告之前误导客户。

鲁贝尔和首席执行官斯科特·卡特勒都没有评论这一违规行为。

Rendition Infosec的创始人杰克·威廉姆斯(Jake Williams)表示，该公司“剥夺了他们的用户有机会评估他们的曝光率”，并没有告知客户该漏洞何时发生。

在筹集了1.1亿美元的资金后，StockX上个月价值超过10亿美元。