信息来源：51cto

日本最大的服装连锁Fast Retailing(迅销集团)发布消息称，优衣库以及GU品牌的在线商城遭到黑客攻击，约46万用户的数据泄漏，包括用户个人信息、电子邮件、地址以及部分信用卡资料等。

Fast Retailing在2019年5月10日确定，其公司运营的优衣库(UNIQLO Japan)以及GU Japan线上商城网站出现非客户的第三方授权登录。受影响的用户数量会根据调查情况随时更新，现将目前已确认的情况公布如下：

Fast Retailing已确定在2019年4月23至5月10日期间，存在“列表型账户黑客攻击”，共计发生了461091次未授权登录事件。对此Fast Retailing向受到影响的客户表示歉意。并且会在今后进一步加强网站安全措施，确保类似的事件不再发生。

根据迅销发布的公告我们可知，其商城网站遭到了“列表型账户攻击”，也就是凭证填充、密码猜测，通俗点说就是撞库攻击。

根据调查，目前可能被暴露的数据包括：

• 用户姓名;
• 地址(邮编、详细地址);
• 用户电话、手机号、电子邮件、性别、出生日期、历史订单以及购买服装尺寸;
• 收件信息(姓名、地址、电话);
• 信用卡信息(持卡人信息、信用卡号码、使用日期等);

声明中表示，迅销集团已向东京都警察局报案，并已告知受影响用户尽快重置密码。至5月14日，优衣库方面表示，关于本次攻击事件，经过调查后确认未涉及中国区的网站及平台。

什么是凭证填充?

根据安全研究人员的说法，凭证填充是一种被犯罪分子广泛用于窃取网站用户名和密码的技术，并且近年来受到的关注度也在不断增加：因为某些专用机器人和商品软件的存在，这种攻击的成功率越来越高。

根据安全供应商Akamai近期发布的报告称，其在过去12个月中共记录了约300亿次凭证填充攻击行为，大约每天就有1.15亿次，某些时候甚至能达到2.5亿次/天。随着视频流和娱乐行业的兴起，零售业成为了这种攻击的主要目标，即便是Citrix这种科技型的公司也是潜在受害者之一。

多数情况下，各类零售商会存储大量的用户资料、财务信息，并且伴随着大量客户不良好的密码使用习惯，凭证填充攻击成为了黑客牟利的关键手段。对此，安全专家表示：“这种攻击与我们所知道的其他类型攻击没有什么不同，使用凭证填充攻击能够成功也意味着用户的密码本身已在其他平台泄漏，多数用户在不同平台使用相同密码对于网络安全来说百害而无一益。”

Fast Retailing的声明中也表示，多数用户也都在其账户中重复使用旧密码。因此，养成良好的用网习惯，定期修改密码，不同网站使用不同的密码，在日常生活中也是很有必要的。

除了用户日常需要养成良好的用网习惯以外，企业也需要采取一定的措施保护用户数据的安全，以下是企业网络安全的小建议：

• 及时通过数安时代GDCA安装SSL证书!SSL证书除了保护用户信息安全、防止用户误进钓鱼假冒网站以外，还能让用户有信心访问网站。相对于HTTP协议的明文传输，HTTPS能最大程度上防止黑客的入侵，建议企业网站使用更高级的OVSSL证书或者更高级的EV SSL证书还可以在网址栏显示企业信息，让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。
• 选择知名品牌的SSL证书。市面上SSL证书繁多，但是很多证书存在通用性不佳，不受浏览器兼容等问题，国际知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的浏览器，还可以进行恶意代码扫描，大大的减少了黑客劫持的风险，为网站健康多加了一把锁。
• 选择具有公信力的CA机构!当商户申请SSL证书时，通常会要求商户提交身份资质文件(如企业营业执照等)，经过CA机构人工审核后才能颁发。而CA机构的选择至关重要的一点是CA机构的实力与服务品质，市场信誉度和口碑是选择CA机构的必备条件。