亞洲最大零售商Fast Retailing(迅銷)發(fā)布聲明,承認(rèn)黑客可能獲取了近50萬(wàn)優(yōu)衣庫(kù)和GU品牌在線商城的用戶個(gè)人信息。該公司5月13日在官網(wǎng)發(fā)布聲明稱:
截圖自Fast Retailing官網(wǎng)
“2019年5月10日確認(rèn),我公司運(yùn)營(yíng)的在線商店網(wǎng)站(優(yōu)衣庫(kù)在線商城、GU在線商城)發(fā)生了非客戶的第三方未經(jīng)授權(quán)的登錄。受影響目標(biāo)的數(shù)量和情況可能會(huì)根據(jù)進(jìn)一步查明而更新,現(xiàn)將我公司目前確認(rèn)的事實(shí)和采取的應(yīng)對(duì)報(bào)告如下:
這一系列欺騙性登錄是在2019年4月23日至5月10日通過(guò)“列表型賬戶黑客攻擊(列表型攻擊)”方式執(zhí)行的,截至目前非法登錄的賬戶數(shù)為461,091。對(duì)于因此帶來(lái)的不便或擔(dān)憂,我們向客戶和利益相關(guān)方深表歉意。我們將進(jìn)一步努力加強(qiáng)安全性并確保安全,使類似事件不再發(fā)生。”
據(jù)Fast Retailing透露,可能已被瀏覽的客戶的個(gè)人信息包括:
- 客戶姓名(名字,姓氏,拼音)
- 客戶地址(郵政編碼,城市,縣,街道地址,房間號(hào))
- 電話號(hào)碼,手機(jī)號(hào)碼,電子郵件地址,性別,出生日期,購(gòu)買歷史記錄,在“我的尺寸”中注冊(cè)的姓名和尺寸
- 送貨名稱(名字,姓氏,地址),電話號(hào)碼
- 信用卡的部分信息(持卡人,到期日期,信用卡部分號(hào)碼)
根據(jù)聲明,該公司已對(duì)未經(jīng)授權(quán)登錄的通信源阻止訪問(wèn),并加強(qiáng)對(duì)其他訪問(wèn)的監(jiān)控。對(duì)于受影響的461,091個(gè)賬戶,其密碼已于5月13日被強(qiáng)制失效,并通知用戶重置密碼。另外,F(xiàn)ast Retailing已向東京都警察局報(bào)告該事件。
對(duì)此,Distil Networks的聯(lián)合創(chuàng)始人Rami Essaid表示:
“擁有用戶登錄頁(yè)面的電子商務(wù)企業(yè)有可能成為下一個(gè)遭受破壞的公司。像優(yōu)衣庫(kù)這樣的數(shù)據(jù)泄露會(huì)在網(wǎng)站的登錄屏幕上造成巨大的機(jī)器人流量高峰,因?yàn)楹诳蜁?huì)通過(guò)大量被盜密碼進(jìn)行循環(huán)。盡管用戶設(shè)置健壯、安全的強(qiáng)密碼是至關(guān)重要的,但企業(yè)也有責(zé)任在大規(guī)模密碼入侵發(fā)生之前檢測(cè)并阻止惡意機(jī)器人流量。”
ImmuniWeb的創(chuàng)始人兼首席執(zhí)行官Ilia Kolochenko表示:
“不安全的網(wǎng)絡(luò)應(yīng)用程序持續(xù)困擾著電子商務(wù)企業(yè)。當(dāng)前,網(wǎng)絡(luò)犯罪分子將越來(lái)越多地瞄準(zhǔn)亞太地區(qū)發(fā)達(dá)國(guó)家的零售商,因?yàn)槲鞣搅闶凵痰陌踩U舷鄬?duì)更好,同時(shí)也有經(jīng)濟(jì)衰退因素的影響。應(yīng)用程序安全性應(yīng)從整體存量和風(fēng)險(xiǎn)評(píng)估開(kāi)始,以便做出明智的決策。之后,持續(xù)的安全監(jiān)控對(duì)于確保敏捷開(kāi)發(fā)流程和及時(shí)解決新的安全和隱私問(wèn)題至關(guān)重要。”
從Fast Retailing聲明的描述看,優(yōu)衣庫(kù)顯然是被撞庫(kù)了。
撞庫(kù)是黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的賬戶。因?yàn)楹芏嘤脩粼诓煌W(wǎng)站使用的賬號(hào)密碼大多是相同的,因此黑客可以通過(guò)獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。
如何防范被撞庫(kù)
對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者,安數(shù)網(wǎng)絡(luò)特別整理了三種常見(jiàn)的撞庫(kù)方法及其防范方法:
一、用n個(gè)密碼字典撞m個(gè)賬號(hào)
表征:一個(gè)賬號(hào)在某個(gè)較短的時(shí)間內(nèi),有多次密碼嘗試。
防范:可以在賬號(hào)層加限制措施,比如:一天內(nèi)一個(gè)賬號(hào),密碼錯(cuò)誤次數(shù)超過(guò)N次時(shí),禁止登錄(或者校驗(yàn)手機(jī)短信/密保問(wèn)題之后才能登錄)。
二、用若干密碼撞n個(gè)賬號(hào)
表征:同一密碼出現(xiàn)的頻率非常高
防范:可以統(tǒng)計(jì)一段時(shí)間內(nèi)每個(gè)密碼的錯(cuò)誤次數(shù),超過(guò)一定閾值時(shí),這個(gè)密碼在一段時(shí)間內(nèi)禁止登錄(或者校驗(yàn)手機(jī)短信/密保問(wèn)題之后才能登錄)。
三、用n組一一對(duì)應(yīng)的賬號(hào)密碼來(lái)再撞庫(kù)
表征:這種情況的撞庫(kù)單純從賬號(hào)、密碼的層面來(lái)看,不會(huì)有明顯的異常。所以,需要一些其他的應(yīng)對(duì)措施。
防范:
1、單個(gè)IP封禁,如果一段時(shí)間內(nèi),單個(gè)IP地址,密碼錯(cuò)誤次數(shù)超過(guò)閾值,則禁止這個(gè)IP一段時(shí)間再登錄(或者校驗(yàn)手機(jī)短信/密保問(wèn)題之后才能登錄)。
2、高危IP封禁,對(duì)代理IP、IDC IP等高危IP直接禁止登錄。
3、行為式驗(yàn)證碼,采用拖條、點(diǎn)選、拼圖等通過(guò)用戶的操作行為來(lái)完成的驗(yàn)證碼。
4、設(shè)備識(shí)別和封禁,通過(guò)客戶端植入SDK,收集用戶端的設(shè)備信息,從設(shè)備層面來(lái)做高頻策略,或者,直接識(shí)別出非正常的設(shè)備,然后對(duì)設(shè)備進(jìn)行封禁。
5、行為識(shí)別和封禁,通過(guò)客戶端植入SDK,收集用戶在登錄頁(yè)面的交互行為,通過(guò)機(jī)器學(xué)習(xí)、大數(shù)據(jù)建模,訓(xùn)練出正常用戶、異常用戶的行為模型,在交互行為層面,將撞庫(kù)的行為識(shí)別出來(lái)。這個(gè)方法需要耗費(fèi)大量時(shí)間和成本。
對(duì)個(gè)人用戶,安數(shù)網(wǎng)絡(luò)溫馨提醒您:
1、不同網(wǎng)站設(shè)置不同的賬戶密碼。
2、設(shè)置健壯、安全的強(qiáng)密碼。
本文由安數(shù)網(wǎng)絡(luò)整理,如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來(lái)源:網(wǎng)絡(luò)
如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明