密码，地址和支付卡数据在视觉直接数据泄露期间被泄露

Vision Direct是一家隐形眼镜，眼镜和其他护眼产品的大型跨国零售商，最近遭遇了数据泄露事件，暴露了部分客户的个人信息。这种类型的新闻如今很常见，以至于当人们听到长长的服务遭到黑客入侵时，人们几乎不会眨眼。然而，Vision Direct的违规行为有点不同。

通常，骗子是在充满用户名，密码，个人详细信息和其他敏感信息的数据库之后。管理这些数据库是服务提供商的责任，不幸的是，有时候，他们并没有做得很好。系统管理员经常用弱密码保护他们，在某些情况下，他们根本不保护密码。使用Vision Direct，没有证据表明实际的数据库受到了损害。相反，网站本身就存在问题。

黑客入侵11月3日，虽然目前尚不清楚他们是如何做到的，但显然他们深入了解Vision Direct的基础设施。他们将虚假的Google Analytics脚本嵌入到零售商主要在线商店的源代码中，并且在很好的情况下，他们还将其安装在Vision Direct在比利时，西班牙，法国，爱尔兰，意大利和荷兰的区域网站上。

在接下来的五天半时间里，恶意剧本一直未被发现，这表明这些骗子在伪装它方面做得很好。 11月8日，Vision Direct终于抓住了它并将其从受影响的网站中删除。然后，零售商面临着解释所发生事情的艰巨任务。

坏消息

事实上，Google Analytics脚本是一个键盘记录程序。就像骗子安装在用户PC上的常规键盘记录器一样，这个键盘记录击键。唯一的区别是它只记录在受影响的网站上输入的信息。在Vision Direct的情况下，这包括用户名，密码，姓名，电子邮件，帐单地址，信用卡详细信息等。

这种类型的数据经常在更常规的破坏场景中被盗，黑客在这种情况下使用充满信息的数据库。但是，在大多数情况下，供应商不会存储信用卡的CVV代码，这会限制黑客可以对被盗数据执行的操作。

Vision Direct表示他们也不存储CVV，但不幸的是，使用键盘记录器，攻击者能够获得有价值的三位数字。尽管攻击者确实必须考虑其他限制，但潜在的伤害更为显着。

不是坏消息

Vision Direct在星期天打破了有关此漏洞的消息 ，尽管他们对受影响人数有点保持沉默，但他们最终告诉TechCrunch ，该黑客已经使16,000多名用户面临风险. 6,600可能有财务数据受到损害，大约9,700可能已经暴露了他们的个人详细信息。

在宏观方案中，这些数字并不是很大，这是因为虽然键盘记录器可以窃取一些本来难以获得的信息，但它们无法大量吸收数据。

关于键盘记录器的好（或坏，取决于透视）的事情是它不能窃取用户未输入的内容。因此，在不创建新帐户或登录现有帐户的情况下浏览Vision Direct网站的人员不会受到任何影响。不幸的是，确实输入用户名和密码的用户已经公开了他们的凭证，但是，只有提供或更新个人和财务信息的用户才会泄露。为避免任何进一步的潜在严重后果，受键盘记录程序影响的人必须确保其Vision Direct密码不会在其他任何地方重复使用。

总的来说，应该指出的是，这远远不是我们见过的最糟糕的数据泄露。但是，有些课程需要学习，特别是对于Vision Direct。