Marks and Spencer ( M&S ) 已确认在 Easter DragonForce 勒索软件攻击中,其服务器基础设施遭窃而导致部分客户数据被窃取,为防范风险,所有在线客户将被要求重置账户密码。
此次攻击发生于三周前,被认为是由 DragonForce 的一个白牌附属机构实施的 —— 可能与臭名昭著的 Scattered Spider 行动有关,该组织使用社会工程学策略进行侵入。
据了解,被窃取的数据包括联系方式(电子邮件地址、邮寄地址和电话号码);包括姓名和出生日期在内的个人信息;以及关于客户与该连锁店互动的数据,涵盖在线订单历史、家庭信息以及‘脱敏’的支付卡详情。
M&S 补充说,可能还被窃取了 M&S 信用卡或 Sparks Pay 卡持有人的客户参考号码,但不包括支付信息(包括前持卡人)。
M&S 首席执行官 Stuart Machin 表示:“我们今天已发信通知客户,很遗憾部分个人客户信息已被窃取。
“值得注意的是,目前没有证据表明这些信息已经被泄露,而且其中不包含可用的卡片或支付详情,也没有账户密码,因此客户无需采取任何行动。”
Machin 补充道:“为了让客户放心,下次访问或登录 M&S 账户时,他们将被提示重置密码,我们也分享了如何在网上保持安全的信息。
“M&S 的每一位员工正夜以继日地努力,力争尽快让客户恢复正常,我们对于客户所经历的不便深表歉意。我们的门店仍照常开放。”
客户服务运营总监 Jayne Wall 发给客户的信中,也包含了其他关于如何在网上保持安全的标准指导建议。
NordVPN 首席技术官 Marijus Briedis 表示,在这种情况下,M&S 声称攻击者尚未泄露或共享被窃数据的说法“过于乐观”,并警告称,即使密码或信用卡详情未被暴露,被窃取的数据对于网络犯罪分子来说依然极具利用价值。
Briedis 解释道:“此类数据可以用于网络钓鱼活动,或与其他泄露信息相结合,实施身份盗窃。
“消费者往往低估了像订单历史或电子邮件地址这样看似‘无害’的数据,落入不法之手后可能造成的危害。M&S 黑客可能利用这些数据构建高度个性化的网络钓鱼邮件,这些邮件精心伪装成零售商发出的信息,从而更难以辨识。
“此次数据泄露事件凸显出,公司不仅需要保护财务数据,还必须将看似不那么敏感的信息(如客户档案和购买记录)视为需要严加保护的重要资产。”
Immersive 网络安全副总裁 Max Vetter(前伦敦大都会警方反洗钱调查员)也对 M&S 提出了严厉批评。
他表示:“M&S 宣称客户可以‘为了额外的安心’更改密码,但这对于担心个人信息泄露的人来说,并不足以缓解其顾虑。随着此次攻击的余波持续扩大,客户希望获得关于其个人数据安全的明确信心,以及 M&S 正在采取哪些措施防止这些数据被公开到网络上。”
“尽管 M&S 希望展现局势可控,并提醒人们保持警惕,但告知客户无需采取行动可能传递了错误的信息。我们建议所有客户重置密码。”
Zetter 重申,被盗数据将成为后续社会工程和网络钓鱼攻击的主要材料,尤其是如果数据确实落入 Scattered Spider 之手,他指出,该组织“往往会长远布局”。
Co-op 面临供应困难
与此同时,对 Co-op 的并行 DragonForce 攻击引发的混乱仍在持续。BBC 今日报道,海峡群岛的门店正面临特别严重的物资短缺,目前正与当地供应商合作以维持部分供应。
在英国其他偏远地区,包括苏格兰的赫布里底群岛,居民同样面临配送中断问题。在许多岛屿上,例如以威士忌生产著称的 Islay 岛,由于 Co-op 门店是当地唯一运营的大型食品零售商,如今短缺情况甚至波及到新鲜水果和蔬菜的供应商。
Co-op 同样确认,已被窃取的数据包括姓名、出生日期和联系信息,但不包括密码、财务详情,以及有关会员购物习惯或与该组织其他互动的信息。
