2025年5月13日,据《环球时报》报道,法国时尚品牌『迪奥』(Christian 『Dior』)于周一晚间通过短信向部分客户通报了一起严重的信息安全事故,品牌部分客户信息遭遇未经授权访问的事件。
短信中明确表示,『迪奥』在5月7日发现有外部机构在未经授权的情况下访问了品牌持有的部分客户数据。此次泄露的信息涵盖客户姓名、性别、电话号码、电子邮件地址、邮寄地址、购买金额、购物偏好以及品牌收集的其他用户相关数据。
对此,专注于暗网情报分析的零零信安公司研究员抽取了部分知名『奢侈品』品牌进行了调研:
- 『迪奥』(『Dior』)
- 古驰(Gucci)
- 路易威登(LV)
- 普拉达(Prada)
- 香奈儿(Chanel)
本次检测内容,包含以上品牌的官方网站泄露的用户凭据数量,以及该品牌单位内部员工泄露数量。
调研统计结果如下:
值得注意的是,该统计仅针对相关品牌的国际官网,并不包含其中国官网、相关其他业务系统等。
具体查询结果如下所示:
『Dior』.com『迪奥』官网存在登录凭据泄露超过4295条,员工泄露超过97条:
Gucci.com古驰官网共可发现6644条客户信息以及1030条员工信息:
其他品牌的详细检索数据,有兴趣的网友可自行检索。
另外在进行这些『奢侈品』的国内官网检索时,例如『迪奥』中国(dior.cn),有大量手机号码和其对应的密码的泄露,如图所示:
研究人员发现,利用已泄露的登录凭据,可以轻松登录并接管其账户,可获得该用户的姓名、手机号、邮箱、密码、生日、详细家庭地址、购物记录、订单等信息。
我们认为,『奢侈品』品牌所面对的用户群体,以及其肩负的责任,应该具备保护其客户的义务。
此次『迪奥』的事件,仅仅是『奢侈品』行业的冰山一角。这揭示了在当今『数字化』环境下,『奢侈品』品牌不能忽视ATO风险对账户安全的潜在威胁,需要采取更为有效的措施来加强账户的安全防护,以保障客户权益和品牌声誉。
关于更多ATO情报的原理、危害、防御策略等介绍可参考:老王说暗网【第8期】攻防演练的盲区?ATO(Account Takeover)攻击风险。原文地址:https://0.zone/article/20250430
