戶外服裝品牌TheNorthFace遭遇撞庫 撞庫究竟如何成功竊取賬戶資訊

前言：近期戶外服裝品牌TheNorthFace遭遇撞庫攻擊，thenorthface.com網站上有200,000個賬戶被黑。撞庫攻擊到底是如何成功竊取賬戶資料的？

近期戶外服裝品牌TheNorthFace遭遇撞庫攻擊，thenorthface.com網站上有200,000個賬戶被黑。

TheNorthFace是VFCorporation產品組合中唯一的品牌，該品牌還擁有Vans、Timberland、Eastpak、Kipling、Dickies，和Napapijri。

撞庫攻擊始於2022年7月26日，但是在2022年8月11日才被發現，網站管理員在2022年8月19日進行了住址。但是駭客已經設法竊取了thenorthface.com網站上194,905個賬戶的資料。

一旦相關的敏感金融資訊被駭客撞庫後盜取，在網路上盜刷銀行卡消費都將易如反掌。

撞庫攻擊的危害

撞庫的攻擊還有著一整套的流程從拖庫－洗庫－撞庫，同時撞庫攻擊產生的危害範圍非常大。

拖庫是指駭客利用網站或網際網路產品漏洞，入侵有價值的網站後臺資料庫系統，把註冊使用者的資料資料庫全部盜走的行為，包括使用者註冊ID（該網站的註冊使用者名稱）、登入密碼、手機號、郵箱、通訊地址、好友名單以及其他隱私資訊等。

震驚業界的CSDN“拖庫”事件中，有600萬個註冊使用者的電子信箱賬戶和密碼等資訊被洩露，之後多家著名網站的使用者資訊被上傳到網路供使用者下載。

洗庫是指駭客在取得大量的使用者資料之後,透過一系列的技術手段和黑色產業鏈，將有價值的使用者資料變成現金以達到非法獲利的目的。

撞庫是指駭客透過收集網路上已洩露的使用者名稱及密碼資訊，使用自動化批處理工具到其他網站嘗試批次登入，進而得到一批可以登入的使用者賬號及密碼，並由此盜取更多的使用者個人資訊。TheNorthFace遭遇的就是典型的撞庫攻擊。

揭秘撞庫黑色產業鏈條

現在的拖庫、洗庫、撞庫已經形成成熟的黑色產業鏈條：首先，由具備一定技術能力的駭客團伙尋找各個網站和網際網路產品的漏洞，進而開發入侵工具或編寫入侵指令碼、入侵教程。

其次，技術駭客將開發的入侵工具賣給鏈條的下一個節點一入侵團伙，該團伙負責具體的入侵行為，將入侵獲取的資料庫打包上傳至收信信封(實施入侵的團伙事前準備的伺服器，用於接收入侵網站伺服器或已經控制的“肉機”的資料庫資料資訊)。

入侵團伙再將“信封”賣給專門的洗庫團伙，洗庫團伙利用批處理工具對“信封”內使用者資訊根據賬號類別(比如遊戲賬號、IM賬號、銀行賬號等)、有無財產等等維度進行分門別類的處理。

而且洗庫團伙可以再將已經分類的賬號進行細緻化的變現，對於有財產的賬號直接出售變現，如直接盜取網銀賬戶內的現金、轉讓遊戲賬號內的虛擬裝備等；對於沒有財產價值的使用者資訊出售給網路廣告聯盟或詐騙團伙，被廣泛應用於傳送垃圾廣告，或對被盜賬號使用者的好友實施詐騙。

最後，被多次轉讓的使用者資料最終出售給撞庫團伙，撞庫團伙利用這些賬號及對應密碼使用自動化工具嘗試登入其他網站或網際網路產品，獲取到新的網站的使用者資料繼續重複以上的鏈條過程。可見，撞庫的黑色鏈條的各個節點清晰，分工明確。

沒有財務資訊被盜

幸運的是，隨著網路安全就是的提升，此次TheNorthFace撞庫事件中，駭客無法獲得敏感的財務資訊，因為支付細節沒有儲存在網站上。

因為“我們不會在thenorthface.com上保留支付卡詳細資訊的副本。我們只保留與您的支付卡相關聯的“令牌”，並且只有我們的第三方支付卡處理器保留支付卡詳細資訊。該令牌不能用於在thenorthface.com以外的任何地方發起購買。”TheNorthFace公司在傳送給客戶的通知中解釋道。

NorthFace對此次攻擊的調查顯示，最有可能被盜的資料是：

　全名

　購買歷史

　賬單地址

　收件地址

　電話號碼

　賬戶建立日期

　性別

　XPLRPass獎勵記錄

　採取措施

擁有TheNorthFace品牌的VFCorporation（前身VanityFairMills）向所有受影響的客戶傳送了有關違規的通知，並解釋了攻擊後採取的安全措施。

“一旦我們意識到這次襲擊，我們迅速採取措施解決這種情況。這些步驟包括禁用密碼和從在攻擊時間範圍內訪問的賬戶中刪除支付卡令牌。因此，下次您在thenorthface.com購物時，您需要建立一個新的（唯一的）密碼並再次輸入您的支付卡資訊。我們將繼續監控我們的系統是否存在可疑活動。”

這是已經是TheNorthFace第二次被撞庫攻擊了，第一次撞庫發生在2020年11月。