信息來(lái)源：51cto

日本最大的服裝連鎖Fast Retailing(迅銷(xiāo)集團(tuán))發(fā)布消息稱(chēng)，優(yōu)衣庫(kù)以及GU品牌的在線(xiàn)商城遭到黑客攻擊，約46萬(wàn)用戶(hù)的數(shù)據(jù)泄漏，包括用戶(hù)個(gè)人信息、電子郵件、地址以及部分信用卡資料等。

Fast Retailing在2019年5月10日確定，其公司運(yùn)營(yíng)的優(yōu)衣庫(kù)(UNIQLO Japan)以及GU Japan線(xiàn)上商城網(wǎng)站出現(xiàn)非客戶(hù)的第三方授權(quán)登錄。受影響的用戶(hù)數(shù)量會(huì)根據(jù)調(diào)查情況隨時(shí)更新，現(xiàn)將目前已確認(rèn)的情況公布如下：

Fast Retailing已確定在2019年4月23至5月10日期間，存在“列表型賬戶(hù)黑客攻擊”，共計(jì)發(fā)生了461091次未授權(quán)登錄事件。對(duì)此Fast Retailing向受到影響的客戶(hù)表示歉意。并且會(huì)在今后進(jìn)一步加強(qiáng)網(wǎng)站安全措施，確保類(lèi)似的事件不再發(fā)生。

根據(jù)迅銷(xiāo)發(fā)布的公告我們可知，其商城網(wǎng)站遭到了“列表型賬戶(hù)攻擊”，也就是憑證填充、密碼猜測(cè)，通俗點(diǎn)說(shuō)就是撞庫(kù)攻擊。

根據(jù)調(diào)查，目前可能被暴露的數(shù)據(jù)包括：

• 用戶(hù)姓名;
• 地址(郵編、詳細(xì)地址);
• 用戶(hù)電話(huà)、手機(jī)號(hào)、電子郵件、性別、出生日期、歷史訂單以及購(gòu)買(mǎi)服裝尺寸;
• 收件信息(姓名、地址、電話(huà));
• 信用卡信息(持卡人信息、信用卡號(hào)碼、使用日期等);

聲明中表示，迅銷(xiāo)集團(tuán)已向東京都警察局報(bào)案，并已告知受影響用戶(hù)盡快重置密碼。至5月14日，優(yōu)衣庫(kù)方面表示，關(guān)于本次攻擊事件，經(jīng)過(guò)調(diào)查后確認(rèn)未涉及中國(guó)區(qū)的網(wǎng)站及平臺(tái)。

什么是憑證填充?

根據(jù)安全研究人員的說(shuō)法，憑證填充是一種被犯罪分子廣泛用于竊取網(wǎng)站用戶(hù)名和密碼的技術(shù)，并且近年來(lái)受到的關(guān)注度也在不斷增加：因?yàn)槟承?zhuān)用機(jī)器人和商品軟件的存在，這種攻擊的成功率越來(lái)越高。

根據(jù)安全供應(yīng)商Akamai近期發(fā)布的報(bào)告稱(chēng)，其在過(guò)去12個(gè)月中共記錄了約300億次憑證填充攻擊行為，大約每天就有1.15億次，某些時(shí)候甚至能達(dá)到2.5億次/天。隨著視頻流和娛樂(lè)行業(yè)的興起，零售業(yè)成為了這種攻擊的主要目標(biāo)，即便是Citrix這種科技型的公司也是潛在受害者之一。

多數(shù)情況下，各類(lèi)零售商會(huì)存儲(chǔ)大量的用戶(hù)資料、財(cái)務(wù)信息，并且伴隨著大量客戶(hù)不良好的密碼使用習(xí)慣，憑證填充攻擊成為了黑客牟利的關(guān)鍵手段。對(duì)此，安全專(zhuān)家表示：“這種攻擊與我們所知道的其他類(lèi)型攻擊沒(méi)有什么不同，使用憑證填充攻擊能夠成功也意味著用戶(hù)的密碼本身已在其他平臺(tái)泄漏，多數(shù)用戶(hù)在不同平臺(tái)使用相同密碼對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)百害而無(wú)一益?！?

Fast Retailing的聲明中也表示，多數(shù)用戶(hù)也都在其賬戶(hù)中重復(fù)使用舊密碼。因此，養(yǎng)成良好的用網(wǎng)習(xí)慣，定期修改密碼，不同網(wǎng)站使用不同的密碼，在日常生活中也是很有必要的。

除了用戶(hù)日常需要養(yǎng)成良好的用網(wǎng)習(xí)慣以外，企業(yè)也需要采取一定的措施保護(hù)用戶(hù)數(shù)據(jù)的安全，以下是企業(yè)網(wǎng)絡(luò)安全的小建議：

• 及時(shí)通過(guò)數(shù)安時(shí)代GDCA安裝SSL證書(shū)!SSL證書(shū)除了保護(hù)用戶(hù)信息安全、防止用戶(hù)誤進(jìn)釣魚(yú)假冒網(wǎng)站以外，還能讓用戶(hù)有信心訪(fǎng)問(wèn)網(wǎng)站。相對(duì)于HTTP協(xié)議的明文傳輸，HTTPS能最大程度上防止黑客的入侵，建議企業(yè)網(wǎng)站使用更高級(jí)的OVSSL證書(shū)或者更高級(jí)的EV SSL證書(shū)還可以在網(wǎng)址欄顯示企業(yè)信息，讓用戶(hù)更信任的同時(shí)還可以提升企業(yè)品牌形象增加企業(yè)的營(yíng)業(yè)額。
• 選擇知名品牌的SSL證書(shū)。市面上SSL證書(shū)繁多，但是很多證書(shū)存在通用性不佳，不受瀏覽器兼容等問(wèn)題，國(guó)際知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的瀏覽器，還可以進(jìn)行惡意代碼掃描，大大的減少了黑客劫持的風(fēng)險(xiǎn)，為網(wǎng)站健康多加了一把鎖。
• 選擇具有公信力的CA機(jī)構(gòu)!當(dāng)商戶(hù)申請(qǐng)SSL證書(shū)時(shí)，通常會(huì)要求商戶(hù)提交身份資質(zhì)文件(如企業(yè)營(yíng)業(yè)執(zhí)照等)，經(jīng)過(guò)CA機(jī)構(gòu)人工審核后才能頒發(fā)。而CA機(jī)構(gòu)的選擇至關(guān)重要的一點(diǎn)是CA機(jī)構(gòu)的實(shí)力與服務(wù)品質(zhì)，市場(chǎng)信譽(yù)度和口碑是選擇CA機(jī)構(gòu)的必備條件。