日本最大的服装连锁Fast Retailing(迅销集团)发布消息称,优衣库以及GU品牌的在线商城遭到黑客攻击,约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以及部分信用卡资料等。
Fast Retailing官网公告
Fast Retailing在2019年5月10日确定,其公司运营的优衣库(UNIQLO Japan)以及GU Japan线上商城网站出现非客户的第三方授权登录。受影响的用户数量会根据调查情况随时更新,现将目前已确认的情况公布如下:
Fast Retailing已确定在2019年4月23至5月10日期间,存在“列表型账户黑客攻击”,共计发生了461091次未授权登录事件。对此Fast Retailing向受到影响的客户表示歉意。并且会在今后进一步加强网站安全措施,确保类似的事件不再发生。
根据迅销发布的公告我们可知,其商城网站遭到了“列表型账户攻击”,也就是凭证填充、密码猜测,通俗点说就是撞库攻击。
根据调查,目前可能被暴露的数据包括:
用户姓名;
地址(邮编、详细地址);
用户电话、手机号、电子邮件、性别、出生日期、历史订单以及购买服装尺寸;
收件信息(姓名、地址、电话);
信用卡信息(持卡人信息、信用卡号码、使用日期等);
声明中表示,迅销集团已向东京都警察局报案,并已告知受影响用户尽快重置密码。
至5月14日,优衣库方面表示,关于本次攻击事件,经过调查后确认未涉及中国区的网站及平台。
凭证填充
根据安全研究人员的说法,凭证填充是一种被犯罪分子广泛用于窃取网站用户名和密码的技术,并且近年来受到的关注度也在不断增加:因为某些专用机器人和商品软件的存在,这种攻击的成功率越来越高。(例:机器人驱动的凭证填充攻击)
根据安全供应商Akamai近期发布的报告称,其在过去12个月中共记录了约300亿次凭证填充攻击行为,大约每天就有1.15亿次,某些时候甚至能达到2.5亿次/天。(当然,这也是因为这种攻击成本低廉以及获取内容价值不定,暗网上曾出现过一组约含50亿个电子邮件的账户和密码的“商品”,售价仅5.2美元。)
随着视频流和娱乐行业的兴起,零售业成为了这种攻击的主要目标,即便是Citrix这种科技型的公司也是潜在受害者之一。
多数情况下,各类零售商会存储大量的用户资料、财务信息,并且伴随着大量客户不良好的密码使用习惯,凭证填充攻击成为了黑客牟利的关键手段。
对此,安全专家表示:“这种攻击与我们所知道的其他类型攻击没有什么不同,使用凭证填充攻击能够成功也意味着用户的密码本身已在其他平台泄漏,多数用户在不同平台使用相同密码对于网络安全来说百害而无一益。”
Fast Retailing的声明中也表示,多数用户也都在其账户中重复使用旧密码。
因此,养成良好的用网习惯,定期修改密码,不同网站使用不同的密码,在日常生活中也是很有必要的。
*参考来源:inforisktoday,Karunesh91编译,转载请注明来自FreeBuf.COM