英國超市連鎖店“冰島”敦促獎金卡客戶在數據洩露後更改密碼

冰島除了是以火山和間歇泉而聞名的北方國家外，還是英國超市連鎖店的名稱。它最近遭遇了一次安全事件，可以證明網絡犯罪分子在選擇目標時不會非常挑剔。

受害者是冰島客戶，他們利用超市的獎勵卡系統 - 一項福利計劃，讓您將存入的錢存入卡中，然後用它從商店購買東西。人們可以在線管理他們的獎勵卡，這意味著他們在冰島的網站上有賬戶。

11月初，超市的IT團隊注意到其中一些賬戶是從不尋常的位置訪問的。在進一步調查後，他們證實這項活動與眾不同，為了阻止這項活動，他們暫停了受影響的賬戶，並著手通知受害者。

有關騙子所做的事情的信息有些稀缺

值得注意的是，冰島決定通過蝸牛郵件聯繫數據洩露受害者。如果您是冰島客戶並且收到有關安全事件的電子郵件，您可以非常確定它是假的。

一些受影響的人發布了真實通知的圖片 ，並且經歷了這些通知，我們可以有把握地說，與亞馬遜相比，超市連鎖店在解釋發生的事情方面做得更好。即便如此，也缺少一些細節。

例如，這封信並沒有說明違規行為影響了多少人，儘管冰島後來告訴Moneysavingexpert.com ，受害人數在“數千人”的某個地方。還不清楚騙子在訪問人們的獎勵卡賬戶時做了什麼。可以肯定的是，受害者的卡片已被暫停，新的卡片正在被郵寄出去。

冰島：這是憑證填充

很容易假設專門銷售食品的組織可能沒有最安全的在線商店。如果你四處尋找，你會發現一兩件事情並沒有真正激發人們的信心。

例如，如果您訪問被濫用的相同Bonus卡登錄表單並單擊“需要幫助登錄？”，您將被重定向到一個頁面 ， 該頁面為您提供有關訪問帳戶所需提供的信息。除此之外，它還說“如果您忘記了密碼，請不要擔心點擊此處，我們可以通過電子郵件發送給您。”我們無法確切地確認密碼重置功能是如何工作的，但如果密碼確實通過電子郵件發送給用戶，那麼Iceland就沒有正確存儲它。

要以純文本形式發送電子郵件，冰島必須能夠以純文本形式查看. 正如我們過去所說 ，如果服務提供商可以看到您的密碼，那麼他們就不能正確存儲密碼。

即便如此，冰島代表說他們的系統沒有任何妥協。根據違規通知，用於侵入冰島賬戶的密碼是從另一個組織竊取的，人們的密碼重用習慣是唯一使攻擊成功的因素。換句話說，他們說他們已成為證件填充攻擊的目標 。

到目前為止所報告的所有內容聽起來都不太可能。首先，憑證填充似乎變得越來越普遍，部分原因在於它非常有效，但主要是因為它很容易實現。此外，雖然一開始可能看起來不合邏輯，但當你考慮它時，攻擊像冰島的獎勵卡計劃這樣的服務確實有點道理。

如果一個人對兩個帳戶使用了相同的密碼，那麼很可能他們也在第三個帳戶上使用了它。通過打破像冰島獎金卡這樣的低價值賬戶，騙子可以確認哪些用戶重複使用他們的密碼，哪些不重複。然後，他們可以對他們的憑證列表進行消毒，這樣可以更快地攻擊更有價值的目標。

由於聽起來像是破紀錄的風險，我們再次強調正確管理密碼的重要性。正如你所看到的，當黑客決定破解某些東西時，他們往往會相當不分青紅皂白，而且他們有時會破壞乍一看似乎沒有太大價值的服務。感謝數百萬人重複使用他們的密碼 ，即使是最不明顯的目標也可以證明是一個金礦。