吳明宜知名運動服飾品牌 Under Armour (UA) 與 Nike 上週相繼傳出遭駭客入侵,並遭勒索軟體竊走大量資料,目前兩大業者皆已正式啟動內部調查。
Under Armour 去年曾被列入勒索軟體組織 Everest 的受害者名單。上週,資安部落格 Have I Been Pwned 發現,Everest 公開了這家服飾大廠高達 7200 萬筆的電子郵件地址資料,部分外洩內容甚至包含用戶姓名、性別、出生日期以及郵遞區號。 Everest 去年曾宣稱成功攻入美國汽車大廠克萊斯勒 (Chrysler) 以及台灣大廠華碩等公司。
無獨有偶,到了週末,資安研究人員 Dominic Alvieri 發現另一勒索軟體組織 WorldLeaks 在其官網張貼公告,列出多達 120 家受害企業。其中,該組織宣稱已駭入 Nike 系統,竊得 18.8 萬份檔案,資料總量高達 1.4TB 。
根據駭客釋出的螢幕截圖顯示,外洩資料可能來自 Nike 某分公司的伺服器目錄,內容涵蓋多個系列的製造與工廠數據資料夾。例如部分資料夾命名為「衣服生產流程」、「NIKE 服飾工具」及「女性生活風格」,甚至出現以中文命名的資料夾。貼文截圖中的倒數計時顯示,駭客疑似威脅 Nike 若未在時限前聯繫或支付贖金,將於週六全面公開手中的機密資料。
WorldLeaks 原先自稱 Hunters International,專門利用勒索軟體竊取資料進行勒贖。該組織在去年遭警方掃蕩後更名為 WorldLeaks,並改採純勒索手法。該組織網站公佈的其他受害者名單,還包含科技大廠 Dell 及德國珠寶品牌 CHRIST 等。
針對此次事件,兩家公司皆表示已介入調查。 Nike 聲明表示,公司極度重視消費者隱私與資料安全,現已著手調查可能的資安事故並評估損害狀況。 UA 亦發出官方聲明指出正在進行調查,截至目前為止,該公司未發現 UA.com 或處理交易、儲存客戶密碼的內部系統受到影響,並強調任何聲稱取得大量客戶敏感資料的說法皆是毫無根據。
來源: SeucurityWeek 、 PC Magazine