日本服装连锁Fast Retailing(迅销集团)发布消息称,优衣库以及GU品牌的在线商城约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以及部分信用卡资料等。
Fast Retailing在2019年5月10日确定,其公司运营的优衣库(UNIQLO Japan)以及GU Japan线上商城网站出现非客户的第三方授权登录。受影响的用户数量会根据调查情况随时更新,现将目前已确认的情况公布如下:
Fast Retailing已确定在2019年4月23至5月10日期间,存在“列表型账户黑客威胁”,共计发生了461091次未授权登录事件。对此Fast Retailing向受到影响的客户表示歉意。并且会在今后进一步加强网站安全措施,确保类似的事件不再发生。
根据迅销发布的公告我们可知,其商城网站遭到了“列表型账户威胁”,也就是凭证填充、密码猜测,通俗点说就是撞库。
根据调查,目前可能被暴露的数据包括:
- 用户姓名;
- 地址(邮编、详细地址);
- 用户电话、手机号、电子邮件、性别、出生日期、历史订单以及购买服装尺寸;
- 收件信息(姓名、地址、电话);
- 信用卡信息(持卡人信息、信用卡号码、使用日期等);
声明中表示,迅销集团已向东京都警察局报案,并已告知受影响用户尽快重置密码。至5月14日,优衣库方面表示,关于本次安全事件,经过调查后确认未涉及中国区的网站及平台。
什么是凭证填充?
根据安全研究人员的说法,凭证填充是一种被犯罪分子广泛用于窃取网站用户名和密码的技术,并且近年来受到的关注度也在不断增加:因为某些专用机器人和商品软件的存在,成功率越来越高。
根据安全供应商Akamai近期发布的报告称,其在过去12个月中共记录了约300亿次凭证填充行为,大约每天就有1.15亿次,某些时候甚至能达到2.5亿次/天。随着视频流和娱乐行业的兴起,零售业成为主要目标,即便是Citrix这种科技型的公司也是潜在受害者之一。
多数情况下,各类零售商会存储大量的用户资料、财务信息,并且伴随着大量客户不良好的密码使用习惯,凭证填充成为了黑客牟利的关键手段。对此,安全专家表示:“这种威胁与我们所知道的其他类型威胁没有什么不同,使用凭证填充能够成功也意味着用户的密码本身已在其他平台泄漏,多数用户在不同平台使用相同密码对于网络安全来说百害而无一益。”
Fast Retailing的声明中也表示,多数用户也都在其账户中重复使用旧密码。因此,养成良好的用网习惯,定期修改密码,不同网站使用不同的密码,在日常生活中也是很有必要的。
除了用户日常需要养成良好的用网习惯以外,企业也需要采取一定的措施保护用户数据的安全,以下是企业网络安全的小建议:
- 及时通过数安时代GDCA安装SSL证书!SSL证书除了保护用户信息安全、防止用户误进钓鱼假冒网站以外,还能让用户有信心访问网站。相对于HTTP协议的明文传输,HTTPS防止黑客,建议企业网站使用更高级的OVSSL证书或者更高级的EV SSL证书还可以在网址栏显示企业信息,让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。
- 选择知名品牌的SSL证书。市面上SSL证书繁多,但是很多证书存在通用性不佳,不受浏览器兼容等问题,国际知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的浏览器,还可以进行恶意代码扫描,大大的减少了黑客劫持的风险,为网站健康多加了一把锁。
- 选择具有公信力的CA机构!当商户申请SSL证书时,通常会要求商户提交身份资质文件(如企业营业执照等),经过CA机构人工审核后才能颁发。而CA机构的选择至关重要的一点是CA机构的实力与服务品质,市场信誉度和口碑是选择CA机构的必备条件。