亞洲最大零售商Fast Retailing（迅銷）發(fā)布聲明，承認黑客可能獲取了近50萬優(yōu)衣庫和GU品牌在線商城的用戶個人信息。該公司5月13日在官網(wǎng)發(fā)布聲明稱：

截圖自Fast Retailing官網(wǎng)

“2019年5月10日確認，我公司運營的在線商店網(wǎng)站（優(yōu)衣庫在線商城、GU在線商城）發(fā)生了非客戶的第三方未經(jīng)授權(quán)的登錄。受影響目標的數(shù)量和情況可能會根據(jù)進一步查明而更新，現(xiàn)將我公司目前確認的事實和采取的應(yīng)對報告如下：

這一系列欺騙性登錄是在2019年4月23日至5月10日通過“列表型賬戶黑客攻擊（列表型攻擊）”方式執(zhí)行的，截至目前非法登錄的賬戶數(shù)為461,091。對于因此帶來的不便或擔憂，我們向客戶和利益相關(guān)方深表歉意。我們將進一步努力加強安全性并確保安全，使類似事件不再發(fā)生。”

據(jù)Fast Retailing透露，可能已被瀏覽的客戶的個人信息包括：

• 客戶姓名（名字，姓氏，拼音）
• 客戶地址（郵政編碼，城市，縣，街道地址，房間號）
• 電話號碼，手機號碼，電子郵件地址，性別，出生日期，購買歷史記錄，在“我的尺寸”中注冊的姓名和尺寸
• 送貨名稱（名字，姓氏，地址），電話號碼
• 信用卡的部分信息（持卡人，到期日期，信用卡部分號碼）

根據(jù)聲明，該公司已對未經(jīng)授權(quán)登錄的通信源阻止訪問，并加強對其他訪問的監(jiān)控。對于受影響的461,091個賬戶，其密碼已于5月13日被強制失效，并通知用戶重置密碼。另外，F(xiàn)ast Retailing已向東京都警察局報告該事件。

對此，Distil Networks的聯(lián)合創(chuàng)始人Rami Essaid表示：

“擁有用戶登錄頁面的電子商務(wù)企業(yè)有可能成為下一個遭受破壞的公司。像優(yōu)衣庫這樣的數(shù)據(jù)泄露會在網(wǎng)站的登錄屏幕上造成巨大的機器人流量高峰，因為黑客會通過大量被盜密碼進行循環(huán)。盡管用戶設(shè)置健壯、安全的強密碼是至關(guān)重要的，但企業(yè)也有責任在大規(guī)模密碼入侵發(fā)生之前檢測并阻止惡意機器人流量。”

ImmuniWeb的創(chuàng)始人兼首席執(zhí)行官Ilia Kolochenko表示：

“不安全的網(wǎng)絡(luò)應(yīng)用程序持續(xù)困擾著電子商務(wù)企業(yè)。當前，網(wǎng)絡(luò)犯罪分子將越來越多地瞄準亞太地區(qū)發(fā)達國家的零售商，因為西方零售商的安全保障相對更好，同時也有經(jīng)濟衰退因素的影響。應(yīng)用程序安全性應(yīng)從整體存量和風險評估開始，以便做出明智的決策。之后，持續(xù)的安全監(jiān)控對于確保敏捷開發(fā)流程和及時解決新的安全和隱私問題至關(guān)重要。”

從Fast Retailing聲明的描述看，優(yōu)衣庫顯然是被撞庫了。

撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的賬戶。因為很多用戶在不同網(wǎng)站使用的賬號密碼大多是相同的，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。

如何防范被撞庫

對網(wǎng)絡(luò)運營者，安數(shù)網(wǎng)絡(luò)特別整理了三種常見的撞庫方法及其防范方法：

一、用n個密碼字典撞m個賬號

表征：一個賬號在某個較短的時間內(nèi)，有多次密碼嘗試。

防范：可以在賬號層加限制措施，比如：一天內(nèi)一個賬號，密碼錯誤次數(shù)超過N次時，禁止登錄（或者校驗手機短信/密保問題之后才能登錄）。

二、用若干密碼撞n個賬號

表征：同一密碼出現(xiàn)的頻率非常高

防范：可以統(tǒng)計一段時間內(nèi)每個密碼的錯誤次數(shù)，超過一定閾值時，這個密碼在一段時間內(nèi)禁止登錄（或者校驗手機短信/密保問題之后才能登錄）。

三、用n組一一對應(yīng)的賬號密碼來再撞庫

表征：這種情況的撞庫單純從賬號、密碼的層面來看，不會有明顯的異常。所以，需要一些其他的應(yīng)對措施。

防范：

1、單個IP封禁，如果一段時間內(nèi)，單個IP地址，密碼錯誤次數(shù)超過閾值，則禁止這個IP一段時間再登錄（或者校驗手機短信/密保問題之后才能登錄）。

2、高危IP封禁，對代理IP、IDC IP等高危IP直接禁止登錄。

3、行為式驗證碼，采用拖條、點選、拼圖等通過用戶的操作行為來完成的驗證碼。

4、設(shè)備識別和封禁，通過客戶端植入SDK，收集用戶端的設(shè)備信息，從設(shè)備層面來做高頻策略，或者，直接識別出非正常的設(shè)備，然后對設(shè)備進行封禁。

5、行為識別和封禁，通過客戶端植入SDK，收集用戶在登錄頁面的交互行為，通過機器學習、大數(shù)據(jù)建模，訓練出正常用戶、異常用戶的行為模型，在交互行為層面，將撞庫的行為識別出來。這個方法需要耗費大量時間和成本。

 

對個人用戶，安數(shù)網(wǎng)絡(luò)溫馨提醒您：

1、不同網(wǎng)站設(shè)置不同的賬戶密碼。

2、設(shè)置健壯、安全的強密碼。

 

本文由安數(shù)網(wǎng)絡(luò)整理，如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:網(wǎng)絡(luò)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明