Marks and Spencer ( M&S ) 已确认在 Easter DragonForce 勒索软件攻击中,其服务器基础设施遭窃而导致部分客户数据被窃取,为防范风险,所有在线客户将被要求重置账户密码。
此次攻击发生于三周前,被认为是由 DragonForce 的一个白牌附属机构实施的 —— 可能与臭名昭著的 Scattered Spider 行动有关,该组织使用社会工程学策略进行侵入。
据了解,被窃取的数据包括联系方式(电子邮件地址、邮寄地址和电话号码);包括姓名和出生日期在内的个人信息;以及关于客户与该连锁店互动的数据,涵盖在线订单历史、家庭信息以及‘脱敏’的支付卡详情。
M&S 补充说,可能还被窃取了 M&S 信用卡或 Sparks Pay 卡持有人的客户参考号码,但不包括支付信息(包括前持卡人)。
M&S 首席执行官 Stuart Machin 表示:“我们今天已发信通知客户,很遗憾部分个人客户信息已被窃取。
“值得注意的是,目前没有证据表明这些信息已经被泄露,而且其中不包含可用的卡片或支付详情,也没有账户密码,因此客户无需采取任何行动。”
Machin 补充道:“为了让客户放心,下次访问或登录 M&S 账户时,他们将被提示重置密码,我们也分享了如何在网上保持安全的信息。
“M&S 的每一位员工正夜以继日地努力,力争尽快让客户恢复正常,我们对于客户所经历的不便深表歉意。我们的门店仍照常开放。”
客户服务运营总监 Jayne Wall 发给客户的信中,也包含了其他关于如何在网上保持安全的标准指导建议。
NordVPN 首席技术官 Marijus Briedis 表示,在这种情况下,M&S 声称攻击者尚未泄露或共享被窃数据的说法“过于乐观”,并警告称,即使密码或信用卡详情未被暴露,被窃取的数据对于网络犯罪分子来说依然极具利用价值。
Briedis 解释道:“此类数据可以用于网络钓鱼活动,或与其他泄露信息相结合,实施身份盗窃。
“消费者往往低估了像订单历史或电子邮件地址这样看似‘无害’的数据,落入不法之手后可能造成的危害。M&S 黑客可能利用这些数据构建高度个性化的网络钓鱼邮件,这些邮件精心伪装成零售商发出的信息,从而更难以辨识。
“此次数据泄露事件凸显出,公司不仅需要保护财务数据,还必须将看似不那么敏感的信息(如客户档案和购买记录)视为需要严加保护的重要资产。”
Immersive 网络安全副总裁 Max Vetter(前伦敦大都会警方反洗钱调查员)也对 M&S 提出了严厉批评。
他表示:“M&S 宣称客户可以‘为了额外的安心’更改密码,但这对于担心个人信息泄露的人来说,并不足以缓解其顾虑。随着此次攻击的余波持续扩大,客户希望获得关于其个人数据安全的明确信心,以及 M&S 正在采取哪些措施防止这些数据被公开到网络上。”
“尽管 M&S 希望展现局势可控,并提醒人们保持警惕,但告知客户无需采取行动可能传递了错误的信息。我们建议所有客户重置密码。”
Zetter 重申,被盗数据将成为后续社会工程和网络钓鱼攻击的主要材料,尤其是如果数据确实落入 Scattered Spider 之手,他指出,该组织“往往会长远布局”。
Co-op 面临供应困难
与此同时,对 Co-op 的并行 DragonForce 攻击引发的混乱仍在持续。BBC 今日报道,海峡群岛的门店正面临特别严重的物资短缺,目前正与当地供应商合作以维持部分供应。
在英国其他偏远地区,包括苏格兰的赫布里底群岛,居民同样面临配送中断问题。在许多岛屿上,例如以威士忌生产著称的 Islay 岛,由于 Co-op 门店是当地唯一运营的大型食品零售商,如今短缺情况甚至波及到新鲜水果和蔬菜的供应商。
Co-op 同样确认,已被窃取的数据包括姓名、出生日期和联系信息,但不包括密码、财务详情,以及有关会员购物习惯或与该组织其他互动的信息。
好文章,需要你的鼓励
机器人和自动化工具已成为云环境中最大的安全威胁,网络犯罪分子率先应用自动化决策来窃取凭证和执行恶意活动。自动化攻击显著缩短了攻击者驻留时间,从传统的数天减少到5分钟内即可完成数据泄露。随着大语言模型的发展,"黑客机器人"将变得更加先进。企业面临AI快速采用压力,但多数组织错误地关注模型本身而非基础设施安全。解决方案是将AI工作负载视为普通云工作负载,应用运行时安全最佳实践。
MBZUAI研究团队发布了史上最大的开源数学训练数据集MegaMath,包含3716亿个Token,是现有开源数学数据集的数十倍。该数据集通过创新的数据处理技术,从网页、代码库和AI合成等多个来源收集高质量数学内容。实验显示,使用MegaMath训练的AI模型在数学推理任务上性能显著提升,为AI数学能力发展提供了强大支撑。
面对心理健康专业人士短缺问题,谷歌、麦肯锡和加拿大重大挑战组织联合发布《心理健康与AI现场指南》,提出利用AI辅助任务分担模式。该指南构建了包含项目适应、人员选择、培训、分配、干预和完成六个阶段的任务分担模型,AI可在候选人筛选、培训定制、客户匹配、预约调度和治疗建议等环节发挥作用。该方法通过将部分治疗任务分配给经过培训的非专业人员,并运用AI进行管理支持,有望缓解治疗服务供需失衡问题。
这项由多个知名机构联合开展的研究揭示了AI系统的"隐形思维"——潜在推理。不同于传统的链式思维推理,潜在推理在AI内部连续空间中进行,不受语言表达限制,信息处理能力提升约2700倍。研究将其分为垂直递归和水平递归两类,前者通过重复处理增加思考深度,后者通过状态演化扩展记忆容量。