以在线礼物登记、宾客名单管理和婚礼网站而闻名的流行婚礼策划网站Zola周一证实,黑客成功侵入了该网站一些用户的账户,并试图启动欺诈性现金转移。
上周末,一些左拉用户在社交媒体上发帖称,有关联的银行账户被用来购买礼品卡。一名Reddit用户发布的一条推文显示,被破解的Zola账户在黑市上被转卖,并被用来购买礼品券。
Zola的通讯主管艾米丽·福里斯特(Emily Forrest)告诉The Verge网站,未经授权的账户访问是通过“凭证填塞”攻击发生的,黑客测试从一系列网站的其他漏洞窃取的电子邮件和密码组合,目标是在多个网站使用相同密码的人。
福雷斯特说:“我们理解这给我们的一些夫妇带来的干扰和压力,但我们很高兴地报告,所有试图欺诈性现金资金转移的企图都被阻止了。”“信用卡和银行信息从未被曝光,并继续受到保护。”
福雷斯特还表示,该公司已经意识到欺诈性礼品卡订单,并正在努力纠正它们。她说,Zola的基础设施没有受到直接的黑客攻击,使用Zola的夫妇中受到影响的不到0.1%。
周日,Zola群发邮件通知用户,账户密码已被自动重置。Zola说,“出于谨慎”,这一行动已经扩展到所有网站用户,尽管绝大多数用户没有受到影响。事件发生时,iOS和Android版本的Zola应用程序也被禁用,但后来被重新启用。
正如TechCrunch所强调的,Zola目前没有为帐户用户提供任何双因素认证,这使得证书填充攻击更容易实现。对于像Zola这样需要处理大量个人和财务敏感用户数据的网站来说,缺乏二级认证过程是违背最佳实践的。
Zola已经指示任何受到影响的用户联系support@zola.com获取进一步信息。
