Marks and Spencer ( M&S ) 已确认在 Easter DragonForce 勒索软件攻击中,其服务器基础设施遭窃而导致部分客户数据被窃取,为防范风险,所有在线客户将被要求重置账户密码。
此次攻击发生于三周前,被认为是由 DragonForce 的一个白牌附属机构实施的 —— 可能与臭名昭著的 Scattered Spider 行动有关,该组织使用社会工程学策略进行侵入。
据了解,被窃取的数据包括联系方式(电子邮件地址、邮寄地址和电话号码);包括姓名和出生日期在内的个人信息;以及关于客户与该连锁店互动的数据,涵盖在线订单历史、家庭信息以及‘脱敏’的支付卡详情。
M&S 补充说,可能还被窃取了 M&S 信用卡或 Sparks Pay 卡持有人的客户参考号码,但不包括支付信息(包括前持卡人)。
M&S 首席执行官 Stuart Machin 表示:“我们今天已发信通知客户,很遗憾部分个人客户信息已被窃取。
“值得注意的是,目前没有证据表明这些信息已经被泄露,而且其中不包含可用的卡片或支付详情,也没有账户密码,因此客户无需采取任何行动。”
Machin 补充道:“为了让客户放心,下次访问或登录 M&S 账户时,他们将被提示重置密码,我们也分享了如何在网上保持安全的信息。
“M&S 的每一位员工正夜以继日地努力,力争尽快让客户恢复正常,我们对于客户所经历的不便深表歉意。我们的门店仍照常开放。”
客户服务运营总监 Jayne Wall 发给客户的信中,也包含了其他关于如何在网上保持安全的标准指导建议。
NordVPN 首席技术官 Marijus Briedis 表示,在这种情况下,M&S 声称攻击者尚未泄露或共享被窃数据的说法“过于乐观”,并警告称,即使密码或信用卡详情未被暴露,被窃取的数据对于网络犯罪分子来说依然极具利用价值。
Briedis 解释道:“此类数据可以用于网络钓鱼活动,或与其他泄露信息相结合,实施身份盗窃。
“消费者往往低估了像订单历史或电子邮件地址这样看似‘无害’的数据,落入不法之手后可能造成的危害。M&S 黑客可能利用这些数据构建高度个性化的网络钓鱼邮件,这些邮件精心伪装成零售商发出的信息,从而更难以辨识。
“此次数据泄露事件凸显出,公司不仅需要保护财务数据,还必须将看似不那么敏感的信息(如客户档案和购买记录)视为需要严加保护的重要资产。”
Immersive 网络安全副总裁 Max Vetter(前伦敦大都会警方反洗钱调查员)也对 M&S 提出了严厉批评。
他表示:“M&S 宣称客户可以‘为了额外的安心’更改密码,但这对于担心个人信息泄露的人来说,并不足以缓解其顾虑。随着此次攻击的余波持续扩大,客户希望获得关于其个人数据安全的明确信心,以及 M&S 正在采取哪些措施防止这些数据被公开到网络上。”
“尽管 M&S 希望展现局势可控,并提醒人们保持警惕,但告知客户无需采取行动可能传递了错误的信息。我们建议所有客户重置密码。”
Zetter 重申,被盗数据将成为后续社会工程和网络钓鱼攻击的主要材料,尤其是如果数据确实落入 Scattered Spider 之手,他指出,该组织“往往会长远布局”。
Co-op 面临供应困难
与此同时,对 Co-op 的并行 DragonForce 攻击引发的混乱仍在持续。BBC 今日报道,海峡群岛的门店正面临特别严重的物资短缺,目前正与当地供应商合作以维持部分供应。
在英国其他偏远地区,包括苏格兰的赫布里底群岛,居民同样面临配送中断问题。在许多岛屿上,例如以威士忌生产著称的 Islay 岛,由于 Co-op 门店是当地唯一运营的大型食品零售商,如今短缺情况甚至波及到新鲜水果和蔬菜的供应商。
Co-op 同样确认,已被窃取的数据包括姓名、出生日期和联系信息,但不包括密码、财务详情,以及有关会员购物习惯或与该组织其他互动的信息。
好文章,需要你的鼓励
Snap 推出 Lens Studio 的 iOS 应用和网页工具,让所有技能层次的用户都能通过文字提示和简单编辑,轻松创建 AR 镜头,包括生成 AI 效果和集成 Bitmoji,从而普及 AR 创作,并持续为专业应用提供支持。
这项研究由香港理工大学和新加坡国立大学的团队共同完成,提出了R?ec,首个将推理能力内置于大型推荐模型的统一框架。与传统方法不同,R?ec在单一自回归过程中实现了推理生成和物品预测的无缝整合。研究者还设计了RecPO优化框架,无需人工标注即可同时提升模型的推理和推荐能力。实验结果显示,R?ec在三个数据集上显著超越现有方法,在Hit@5和NDCG@20指标上分别提升68.67%和45.21%。这一突破为下一代智能推荐系统开辟了新方向。
这项研究提出了CURE框架,通过强化学习让大语言模型同时学习编写代码和生成单元测试两种能力,无需使用标准代码作为监督。团队开发的ReasonFlux-Coder模型在仅用4.5K编程问题训练后,便在多个基准测试中超越了同类模型,代码生成准确率提高5.3%,最佳N选1准确率提高9.0%。该方法不仅提升了模型性能,还提高了推理效率,同时为降低API调用成本和无标签强化学习提供了新思路。