去年美國最大零售商 Target 爆出史上最嚴重的零售業數據洩漏事故,外洩 4,000 萬筆交易資料。今年再次出現同類事件,美國女性時裝零售商 bebe 於感恩節被黑客入侵達幾乎一個月之久,期間的客戶姓名、賬戶號碼等敏感資料均有外洩,相信同類事故在日後將陸續有來。
黑客潛伏時間近一個月
獲 bebe 官方承認的資料洩漏事故為期由 8/11 至 26/11,近乎整個 11 月。據 bebe 指,此事故的影響範圍包括美國本土、波多黎各與美屬維爾京群島三地消費的客戶;而在其全球其他分店及網絡分店消費的客戶則不在受影響行列。
是次漏洞最初由資安研究機構 Krebs on Security 發現,黑客透過駭入商戶的刷卡系統與裝置,將所有經由其處理的交易資料都記錄、儲存後製作成清單,並到黑市轉售圖利。
據 Krebs on Security 資安專家 Brian Krebs 指,黑客攻擊 bebe 的手法與其他同樣於近期被攻擊的大型連鎖零售商如 Target、Neiman Marcus 等相似,黑客利用 POS 等付款系統的漏洞在系統中安插惡意軟件,藉此記錄所有經其處理的交易,收集目標的客戶資料,再轉售圖利。
Bebe 在日前發布的聲明中指現時他們已努力與信用卡公司合作,通知受影響的客戶;而 bebe 亦同時提醒用戶留意帳戶的各種活動,如有異常或未經授權的活動,用戶應盡快通知相關單位。而 bebe 亦將為客戶提供一年免費的帳戶監察服務。
Source:bebe
