密碼，地址和支付卡數據在視覺直接數據洩露期間被洩露

Vision Direct是一家隱形眼鏡，眼鏡和其他護眼產品的大型跨國零售商，最近遭遇了數據洩露事件，暴露了部分客戶的個人信息。這種類型的新聞如今很常見，以至於當人們聽到長長的服務遭到黑客入侵時，人們幾乎不會眨眼。然而，Vision Direct的違規行為有點不同。

通常，騙子是在充滿用戶名，密碼，個人詳細信息和其他敏感信息的數據庫之後。管理這些數據庫是服務提供商的責任，不幸的是，有時候，他們並沒有做得很好。系統管理員經常用弱密碼保護他們，在某些情況下，他們根本不保護密碼。使用Vision Direct，沒有證據表明實際的數據庫受到了損害。相反，網站本身就存在問題。

黑客入侵11月3日，雖然目前尚不清楚他們是如何做到的，但顯然他們深入了解Vision Direct的基礎設施。他們將虛假的Google Analytics腳本嵌入到零售商主要在線商店的源代碼中，並且在很好的情況下，他們還將其安裝在Vision Direct在比利時，西班牙，法國，愛爾蘭，意大利和荷蘭的區域網站上。

在接下來的五天半時間裡，惡意劇本一直未被發現，這表明這些騙子在偽裝它方面做得很好。 11月8日，Vision Direct終於抓住了它並將其從受影響的網站中刪除。然後，零售商面臨著解釋所發生事情的艱鉅任務。

壞消息

事實上，Google Analytics腳本是一個鍵盤記錄程序。就像騙子安裝在用戶PC上的常規鍵盤記錄器一樣，這個鍵盤記錄擊鍵。唯一的區別是它只記錄在受影響的網站上輸入的信息。在Vision Direct的情況下，這包括用戶名，密碼，姓名，電子郵件，帳單地址，信用卡詳細信息等。

這種類型的數據經常在更常規的破壞場景中被盜，黑客在這種情況下使用充滿信息的數據庫。但是，在大多數情況下，供應商不會存儲信用卡的CVV代碼，這會限制黑客可以對被盜數據執行的操作。

Vision Direct表示他們也不存儲CVV，但不幸的是，使用鍵盤記錄器，攻擊者能夠獲得有價值的三位數字。儘管攻擊者確實必須考慮其他限制，但潛在的傷害更為顯著。

不是壞消息

Vision Direct在星期天打破了有關此漏洞的消息 ，儘管他們對受影響人數有點保持沉默，但他們最終告訴TechCrunch ，該黑客已經使16,000多名用戶面臨風險. 6,600可能有財務數據受到損害，大約9,700可能已經暴露了他們的個人詳細信息。

在宏觀方案中，這些數字並不是很大，這是因為雖然鍵盤記錄器可以竊取一些本來難以獲得的信息，但它們無法大量吸收數據。

關於鍵盤記錄器的好（或壞，取決於透視）的事情是它不能竊取用戶未輸入的內容。因此，在不創建新帳戶或登錄現有帳戶的情況下瀏覽Vision Direct網站的人員不會受到任何影響。不幸的是，確實輸入用戶名和密碼的用戶已經公開了他們的憑證，但是，只有提供或更新個人和財務信息的用戶才會洩露。為避免任何進一步的潛在嚴重後果，受鍵盤記錄程序影響的人必須確保其Vision Direct密碼不會在其他任何地方重複使用。

總的來說，應該指出的是，這遠遠不是我們見過的最糟糕的數據洩露。但是，有些課程需要學習，特別是對於Vision Direct。