英国超市连锁店“冰岛”敦促奖金卡客户在数据泄露后更改密码

冰岛除了是以火山和间歇泉而闻名的北方国家外，还是英国超市连锁店的名称。它最近遭遇了一次安全事件，可以证明网络犯罪分子在选择目标时不会非常挑剔。

受害者是冰岛客户，他们利用超市的奖励卡系统 - 一项福利计划，让您将存入的钱存入卡中，然后用它从商店购买东西。人们可以在线管理他们的奖励卡，这意味着他们在冰岛的网站上有账户。

11月初，超市的IT团队注意到其中一些账户是从不寻常的位置访问的。在进一步调查后，他们证实这项活动与众不同，为了阻止这项活动，他们暂停了受影响的账户，并着手通知受害者。

有关骗子所做的事情的信息有些稀缺

值得注意的是，冰岛决定通过蜗牛邮件联系数据泄露受害者。如果您是冰岛客户并且收到有关安全事件的电子邮件，您可以非常确定它是假的。

一些受影响的人发布了真实通知的图片 ，并且经历了这些通知，我们可以有把握地说，与亚马逊相比，超市连锁店在解释发生的事情方面做得更好。即便如此，也缺少一些细节。

例如，这封信并没有说明违规行为影响了多少人，尽管冰岛后来告诉Moneysavingexpert.com ，受害人数在“数千人”的某个地方。还不清楚骗子在访问人们的奖励卡账户时做了什么。可以肯定的是，受害者的卡片已被暂停，新的卡片正在被邮寄出去。

冰岛：这是凭证填充

很容易假设专门销售食品的组织可能没有最安全的在线商店。如果你四处寻找，你会发现一两件事情并没有真正激发人们的信心。

例如，如果您访问被滥用的相同Bonus卡登录表单并单击“需要帮助登录？”，您将被重定向到一个页面 ， 该页面为您提供有关访问帐户所需提供的信息。除此之外，它还说“如果您忘记了密码，请不要担心点击此处，我们可以通过电子邮件发送给您。”我们无法确切地确认密码重置功能是如何工作的，但如果密码确实通过电子邮件发送给用户，那么Iceland就没有正确存储它。

要以纯文本形式发送电子邮件，冰岛必须能够以纯文本形式查看. 正如我们过去所说 ，如果服务提供商可以看到您的密码，那么他们就不能正确存储密码。

即便如此，冰岛代表说他们的系统没有任何妥协。根据违规通知，用于侵入冰岛账户的密码是从另一个组织窃取的，人们的密码重用习惯是唯一使攻击成功的因素。换句话说，他们说他们已成为证件填充攻击的目标 。

到目前为止所报告的所有内容听起来都不太可能。首先，凭证填充似乎变得越来越普遍，部分原因在于它非常有效，但主要是因为它很容易实现。此外，虽然一开始可能看起来不合逻辑，但当你考虑它时，攻击像冰岛的奖励卡计划这样的服务确实有点道理。

如果一个人对两个帐户使用了相同的密码，那么很可能他们也在第三个帐户上使用了它。通过打破像冰岛奖金卡这样的低价值账户，骗子可以确认哪些用户重复使用他们的密码，哪些不重复。然后，他们可以对他们的凭证列表进行消毒，这样可以更快地攻击更有价值的目标。

由于听起来像是破纪录的风险，我们再次强调正确管理密码的重要性。正如你所看到的，当黑客决定破解某些东西时，他们往往会相当不分青红皂白，而且他们有时会破坏乍一看似乎没有太大价值的服务。感谢数百万人重复使用他们的密码 ，即使是最不明显的目标也可以证明是一个金矿。