Superdrug警告客戶在黑客攻擊威脅后更改密碼

Superdrug警告客戶更改密碼，因為一名身份不明的黑客聲稱已經竊取了大約20,000名客戶的個人信息。根據Superdrug的說法，黑客共有386個帳戶作為此違規行為的證據，并要求該公司支付贖金。然而，Superdrug表示他們的系統沒有被破壞。

“我們相信他們從其他網站獲得了客戶的電子郵件地址和密碼，然后使用這些憑據訪問我們網站上的帳戶，”該公司在一份聲明中說。“我們與我們的獨立IT安全顧問合作，他們已經確認我們的系統沒有出現黑客攻擊的跡象(例如，我們的系統沒有大量數據下載或提取)”。“他們還證實，個人共享的386個賬戶是攻擊的證據，這些賬戶是先前在與Superdrug無關的黑客攻擊中獲得的。”

簡而言之，似乎黑客已經收集了作為先前數據泄露的一部分發布的電子郵件地址和密碼的列表，然后使用稱為“憑證填充”的技術 - 其中已知的用戶名和密碼組合針對各種各樣的在線服務 - 查找Superdrug帳戶的匹配項。

Superdrug告訴IT Pro，黑客聲稱擁有20,000個客戶的詳細信息“尚未得到確認”，表明他們可能只是虛張聲勢，并且只持有他們共享的386個賬戶作為所謂的“樣本”。

在向IT專業人員發表的一份聲明中，該公司強調，沒有任何支付卡數據受到損害，但表示網絡竊賊可能訪問了某些客戶的姓名，電子郵件地址，出生日期，電話號碼和獎勵積分余額。該公司已直接通知個人認為其可能有效，并建議客戶“作為安全預防措施”更改其在線帳戶密碼，盡管有些客戶報告說這樣做有困難，因為Superdrug網站不會讓他們登錄到期大量的流量。

“我們知道，我們聯系并要求更改密碼的一些客戶由于使用該網站的人數而難以登錄，”該公司表示，“我們對造成的任何不便表示歉意。”