家具电商FortyTwo网站遭入侵 用户登录资料或泄露

家具电商FortyTwo的网站上个星期遭入侵，部分客户的登录电邮和密码可能泄露。业者呼吁受影响的客户立即重置密码，并更换其他平台所使用的相同密码。

根据《联合早报》所取得的FortyTwo发给受影响客户的通知，在这次事件中受影响的客户不到3%。

FortyTwo说，此次入侵使用的是一种叫做“登录抄录”（login skimming）的盗用账号手法，通过在网站上植入恶意代码，网络攻击者可以在客户输入用户名和密码时，即时获取他们所输入的信息。尽管公司的网站系统已经采用一种名为“加盐哈希算法”（salted hashing algorithm）的加密方式，确保网络攻击者无法还原系统中保存的密码，可是对于登录抄录这样的手段，该防御方式无济于事。

公司网络安全团队在本月23日发现恶意代码后，立即采取行动阻止网络攻击者的访问，并于次日向有关当局报告了这起事件。

通知中也提到，根据调查，网络攻击者只收集了登录电邮和密码，并没有得到客户的其他信息，例如姓名、地址、订单记录等。由于FortyTwo仅使用第三方支付平台来处理信用卡交易，因此系统中并未存储客户的信用卡信息，只记录了交易编号和信用卡号码的后四位数字。

目前，受影响的客户已无法访问账户，须要重置密码后，才能重新登录。FortyTwo提醒客户，如果使用相同的电邮和密码来登录其他网站或服务，安全起见也应该立即更换密码。

庄女士（公务员）是FortyTwo的客户。由于她的信息没有遭盗，因此并未收到相关通知，可她对此表示不满。

“FortyTwo应该告知所有客户，并让我们检查银行账户有没有被盗。目前我还没看到他们在社交媒体平台发出任何贴文通告。”

她也提到，最近这种泄露信息的事件频发，她收到过许多奇怪的简讯，因此怀疑自己的手机号码早已被滥用。