户外品牌The North Face的母公司VF户外公司披露,其零售网站4月遭受数据泄露影响近3000名客户。VF户外公司(旗下还拥有JanSport和Timberland品牌)在向美国佛蒙特州及缅因州提交的数据泄露通知函中称,公司于4月23日首次发现异常活动,确认2861个账户遭非法访问。
调查显示,攻击者对The North Face官网发起凭据填充攻击——利用从其他渠道窃取的账号密码组合侵入用户账户。“攻击者极可能通过非本公司渠道获取您的邮箱与密码,再利用相同凭据入侵官网账户。”VF户外公司在声明中解释。公司强调本次事件未涉及法定必须通报的敏感信息,当前通知纯属“出于充分谨慎的考量”。
遭窃数据涵盖用户在官网的购买记录、收货地址、全名、出生日期及电话号码。支付信息未受波及,因信用卡数据由第三方支付平台托管,官网仅保留无法在非官网场景发起交易的令牌。VF户外公司已强制重置所有账户密码,并提醒客户:若在多平台使用相同密码应立即修改。本次事件不提供身份保护服务。
此次事件是VF户外公司近年第二起同类事故——2022年该公司曾向缅因州报告另一起凭据填充攻击,致近20万客户信息泄露。值得关注的是,该公司还是美国证监会新规生效首日首家申报“重大勒索软件攻击”的企业:2023年12月的攻击曾严重扰乱其订单处理系统。
The North Face遇袭之际,英美多领域零售商正持续遭受黑客组织Scattered Spider长达数月的攻击。上周女性时尚品牌Victoria’s Secret因安全事件被迫推迟财报发布;本周二卡地亚向客户发出系统遭入侵警告;阿迪达斯、迪奥与蒂芙尼近两周亦接连公告客户及员工数据泄露。美国联邦调查局已就此向主要零售商发布网络安全情报简报——此前该组织攻击目标已从英国零售商玛莎百货、Co-op转向美国企业。
消息来源: therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容