佐拉婚礼策划网站被黑,用户帐户用于购买礼物
以其在线礼品登记员,客人名单管理和婚礼网站而闻名的流行婚礼策划网站Zola周一 证实,黑客已成功访问其一些用户的帐户,并试图进行虚假的现金转账。
上周末,一些Zola用户在社交媒体上发帖,将他们的银行账户与用于购买礼品卡联系起来。一名Reddit用户标记的一条推文声称显示Zola被黑客入侵的帐户在黑市上转售,并用于购买礼券。
Zola的通信主管Emily Forrest告诉The Verge,未经授权的帐户访问是通过“凭据捕获”攻击发生的,黑客测试了从各种网站上的其他违规行为中窃取的电子邮件和密码的组合,以针对在多个网站上使用相同密码的人。
“我们理解我们的一些合作伙伴造成的破坏和压力,但我们很高兴地报告,所有现金转移欺诈的企图都被阻止了,”福雷斯特说。“信用卡和银行信息从未被暴露,并继续受到保护。
Forrest还表示,该公司已经意识到假礼品卡订单,并正在努力修复它。他说,Zola的基础设施没有直接被黑客入侵,只有不到0.1%的夫妇使用Zola受到影响。
5 月 22 日星期日,Zola 发送了一封批量电子邮件,通知用户帐户密码已自动重置。佐拉说,这一行动已经扩展到该网站的所有用户,“出于谨慎”,尽管大多数用户都没有受到影响。在事件期间,Zola应用程序的iOS和Android版本也被禁用,但此后已重新激活。
正如TechCrunch所强调的那样,Zola目前没有为帐户用户提供双因素身份验证,这使得凭据填充攻击更容易实现。缺乏辅助身份验证过程与Zola等网站的最佳实践背道而驰,这些网站在个人和财务上处理大量敏感用户数据。
Zola已指示任何受影响的用户联系 support@zola.com 以获取更多信息。