M&S 数据泄露后强制用户重置密码

Marks and Spencer ( M&S ) 已确认在 Easter DragonForce 勒索软件攻击中，其服务器基础设施遭窃而导致部分客户数据被窃取，为防范风险，所有在线客户将被要求重置账户密码。

此次攻击发生于三周前，被认为是由 DragonForce 的一个白牌附属机构实施的 —— 可能与臭名昭著的 Scattered Spider 行动有关，该组织使用社会工程学策略进行侵入。

据了解，被窃取的数据包括联系方式（电子邮件地址、邮寄地址和电话号码）；包括姓名和出生日期在内的个人信息；以及关于客户与该连锁店互动的数据，涵盖在线订单历史、家庭信息以及‘脱敏’的支付卡详情。

M&S 补充说，可能还被窃取了 M&S 信用卡或 Sparks Pay 卡持有人的客户参考号码，但不包括支付信息（包括前持卡人）。

M&S 首席执行官 Stuart Machin 表示：“我们今天已发信通知客户，很遗憾部分个人客户信息已被窃取。

“值得注意的是，目前没有证据表明这些信息已经被泄露，而且其中不包含可用的卡片或支付详情，也没有账户密码，因此客户无需采取任何行动。”

Machin 补充道：“为了让客户放心，下次访问或登录 M&S 账户时，他们将被提示重置密码，我们也分享了如何在网上保持安全的信息。

“M&S 的每一位员工正夜以继日地努力，力争尽快让客户恢复正常，我们对于客户所经历的不便深表歉意。我们的门店仍照常开放。”

客户服务运营总监 Jayne Wall 发给客户的信中，也包含了其他关于如何在网上保持安全的标准指导建议。

NordVPN 首席技术官 Marijus Briedis 表示，在这种情况下，M&S 声称攻击者尚未泄露或共享被窃数据的说法“过于乐观”，并警告称，即使密码或信用卡详情未被暴露，被窃取的数据对于网络犯罪分子来说依然极具利用价值。

Briedis 解释道：“此类数据可以用于网络钓鱼活动，或与其他泄露信息相结合，实施身份盗窃。

“消费者往往低估了像订单历史或电子邮件地址这样看似‘无害’的数据，落入不法之手后可能造成的危害。M&S 黑客可能利用这些数据构建高度个性化的网络钓鱼邮件，这些邮件精心伪装成零售商发出的信息，从而更难以辨识。

“此次数据泄露事件凸显出，公司不仅需要保护财务数据，还必须将看似不那么敏感的信息（如客户档案和购买记录）视为需要严加保护的重要资产。”

Immersive 网络安全副总裁 Max Vetter（前伦敦大都会警方反洗钱调查员）也对 M&S 提出了严厉批评。

他表示：“M&S 宣称客户可以‘为了额外的安心’更改密码，但这对于担心个人信息泄露的人来说，并不足以缓解其顾虑。随着此次攻击的余波持续扩大，客户希望获得关于其个人数据安全的明确信心，以及 M&S 正在采取哪些措施防止这些数据被公开到网络上。”

“尽管 M&S 希望展现局势可控，并提醒人们保持警惕，但告知客户无需采取行动可能传递了错误的信息。我们建议所有客户重置密码。”

Zetter 重申，被盗数据将成为后续社会工程和网络钓鱼攻击的主要材料，尤其是如果数据确实落入 Scattered Spider 之手，他指出，该组织“往往会长远布局”。

Co-op 面临供应困难

与此同时，对 Co-op 的并行 DragonForce 攻击引发的混乱仍在持续。BBC 今日报道，海峡群岛的门店正面临特别严重的物资短缺，目前正与当地供应商合作以维持部分供应。

在英国其他偏远地区，包括苏格兰的赫布里底群岛，居民同样面临配送中断问题。在许多岛屿上，例如以威士忌生产著称的 Islay 岛，由于 Co-op 门店是当地唯一运营的大型食品零售商，如今短缺情况甚至波及到新鲜水果和蔬菜的供应商。

Co-op 同样确认，已被窃取的数据包括姓名、出生日期和联系信息，但不包括密码、财务详情，以及有关会员购物习惯或与该组织其他互动的信息。