ゾラウェディングプランニングサイトがハッキングされ、ユーザーアカウントがギフトを購入するために使用される
オンラインギフトレジストラ、ゲストリスト管理、結婚式のウェブサイトで知られる人気のある結婚式計画ウェブサイトZolaは、月曜日 、ハッカーが多数のユーザーのアカウントに正常にアクセスし、偽の現金送金を試みたことを確認しました。
週末、一部のゾラユーザーはソーシャルメディアに投稿し、銀行口座をギフトカードの購入に使用したとリンクしました。Redditユーザーによってフラグが立てられたあるツイートは、ゾラのハッキングされたアカウントが闇市場で転売され、ギフト券の購入に使用されていることを示していると主張した。
ゾラのコミュニケーションディレクター、エミリー・フォレスト氏はThe Vergeに対し、不正なアカウントアクセスは、ハッカーがさまざまなWebサイトの他の侵害から盗まれた電子メールとパスワードの組み合わせをテストして、複数のサイトで同じパスワードを使用している人々を標的にする「資格情報トラップ」攻撃によって発生したと語った。
「一部のパートナーによって引き起こされた混乱と圧力は理解していますが、現金送金詐欺のすべての試みがブロックされたことを報告できてうれしく思います」とフォレスト氏は述べています。「クレジットカードや銀行情報は一度も公開されておらず、保護され続けています。
フォレスト氏はまた、同社は偽のギフトカードの注文を認識しており、それを修正するために取り組んでいると述べた。彼は、ゾラのインフラの直接的なハッキングはなく、ゾラを使用しているカップルの0.1%未満が影響を受けたと述べた。
5月22日日曜日、Zolaはアカウントのパスワードが自動的にリセットされたことをユーザーに通知するバルクメールを送信しました。ゾラ氏は、この行動は「十分な注意を払って」サイトのすべてのユーザーに拡大されたが、ほとんどは影響を受けていないと述べた。ZolaアプリのiOS版とAndroid版もインシデント中に無効になりましたが、その後再アクティブ化されました。
TechCrunchが強調しているように、Zolaは現在、アカウントユーザーに2要素認証を提供していないため、資格情報の入力攻撃がはるかに簡単に実現できます。二次認証プロセスの欠如は、大量の機密ユーザーデータを個人的および財政的に処理するZolaのようなサイトのベストプラクティスに反しています。
Zolaは、影響を受けるユーザーに、詳細について support@zola.com に連絡するよう指示しました。