近日，以色列網(wǎng)絡(luò)安全公司Hudson Rock發(fā)現(xiàn) 一個據(jù)稱包含3.5億條Hot Topic顧客個人和支付數(shù)據(jù)的龐大數(shù)據(jù)庫，在暗網(wǎng)上被公開出售。

名為Satanic的威脅組織發(fā)布了該訂單，并聲稱數(shù)據(jù)庫包括用戶詳細(xì)的個人信息，包括姓名、電子郵件地址、郵寄地址、出生日期、交易信息、信用卡信息、發(fā)票信息等等。Hudson Rock的研究人員對威脅組織提供的數(shù)據(jù)樣本進(jìn)行分析，發(fā)現(xiàn)主要來源于Hot Topic、Torrid和BoxLunch三家零售企業(yè)，他們都由快時尚集團(tuán)Hot Topic創(chuàng)立并運(yùn)營。

有意思的是，從現(xiàn)有的報道來看，Hot Topic集團(tuán)在2023年和2024年分別披露了多起網(wǎng)絡(luò)攻擊事件。安全分析人員表示，此次在暗網(wǎng)上售賣的數(shù)據(jù)可能來源于此。

截止到目前，Hot Topic并未公開承認(rèn)數(shù)據(jù)泄露，但隨著安全研究人員發(fā)現(xiàn)的證據(jù)越來越，其確定性也越來越高。Hudson Rock的研究人員表示，如果被確認(rèn)，那將是零售行業(yè)“歷史上最大的泄露事件之一”。

根據(jù)Satanic威脅組織發(fā)布的內(nèi)容，泄露的數(shù)據(jù)庫包括大量的支付細(xì)節(jié)信息，例如客戶信用卡的最后四位數(shù)字、卡類型、哈希過期日期、賬戶持有人姓名等，甚至還有數(shù)十億的與Hot Topic和Box Lunch公司相關(guān)的用戶積分，并與個人資料標(biāo)識符關(guān)聯(lián)。

Hudson Rock警告稱，這將給用戶帶來嚴(yán)重安全隱患，例如這些積分可以被黑產(chǎn)用于賬戶接管，特別是很多積分還沒有過期，再加上大量的個人信息、支付信息等，被用于身份盜竊、金融欺詐等安全事件的概率將大大增加。

據(jù)Hudson Rock的調(diào)查，此次數(shù)據(jù)泄露可能源于info-stealer木馬感染，該木馬入侵了為Hot Topic等零售商提供數(shù)據(jù)統(tǒng)一服務(wù)的第三方公司員工的計算機(jī)，而缺乏多因素身份驗(yàn)證（MFA）機(jī)制可能是導(dǎo)致該事件發(fā)生的核心因素之一。

Hudson Rock的調(diào)查報告指出，2024年9月12日，Hot Topic 一名第三方供應(yīng)商員工被攻破，然而該員工擁有超過240個的登錄憑證，其中大多都是企業(yè)賬戶。安全研究人員也發(fā)現(xiàn)在與Hot Topic和Torrid的環(huán)境相關(guān)的Snowflake和Looker上識別了數(shù)十個登錄憑證，這意味著Hot Topic 在權(quán)限管理上存在巨大問題，因員工憑證導(dǎo)致的泄露事件影響面將會非常廣。

雖然Hot Topic未對此事進(jìn)行評價，但Hudson Rock認(rèn)為該數(shù)據(jù)庫的真實(shí)性非常高，Satanic 威脅組織以數(shù)據(jù)泄露大事件而聞名，且數(shù)據(jù)樣本與聲明一致。目前該威脅組織希望以2萬美元的價格出售680GB的數(shù)據(jù)庫，或者向Hot Topic勒索1萬美元刪除該帖子。

參考來源：https://cybernews.com/security/hackers-put-350m-hot-topic-customers-records-for-sale/