黑客从Gucci、Balenciaga和Alexander McQueen门店窃取了数百万用户的个人数据

奢侈时尚公司开云集团已证实发生数据泄露事件，黑客组织“闪亮猎人”获取了古驰、巴黎世家和亚历山大·麦昆的私人客户记录。

这起漏洞事件于6月被发现，但实际发生在4月，暴露了约740万个唯一电子邮件地址的个人身份信息（PII）。

1. 约 740 万名奢侈品牌消费者的个人身份信息（PII）与消费数据遭窃取。

   （说明：“PII” 全称为 “Personally Identifiable Information”，即 “个人身份信息”，通常包括姓名、手机号、邮箱、地址、身份证号等可用于识别个人的信息；“spend data” 指 “消费数据”，可能包含消费金额、消费时间、购买商品品类等信息。）

2. 高价值消费者面临更高的钓鱼攻击与 SIM 卡劫持风险。

   （说明：“high-value shoppers” 指消费能力强、消费频次高的 “高价值消费者”；“phishing” 即 “钓鱼攻击”，指攻击者通过伪装成可信主体（如银行、品牌官方）发送虚假信息，诱骗用户泄露信息或执行恶意操作；“SIM-swap” 即 “SIM 卡劫持”，指攻击者通过欺诈手段（如伪造身份）向运营商申请将目标用户的手机号转移到自己的 SIM 卡上，进而获取短信验证码、接管账户。）

3. 开云集团（Kering）已通知监管机构与消费者，并拒绝支付赎金。

   （说明：“Kering” 是法国奢侈品集团 “开云集团” 的英文名称，旗下拥有古驰（Gucci）、圣罗兰（YSL）、巴黎世家（Balenciaga）等知名奢侈品牌；“notified regulators/customers” 指同时向监管部门（负责数据安全监管的机构）和受影响消费者履行告知义务，符合数据安全相关法规要求；“refused ransom” 指拒绝向数据窃取者支付其索要的赎金（通常攻击者会以泄露更多数据相威胁要求赎金）。）

大规模数据泄露

据开云集团声明，攻击者通过被盗用的内部凭证获得了临时未授权访问权限——这些凭证很可能是通过针对 Salesforce 单点登录门户的钓鱼攻击获取的。

被盗数据集包含：

• 电子邮件
• 全名
• 电话号码
• 收货地址
• 总销售额

没有任何受PCI-DSS监管的数据被窃取，例如信用卡号码或银行账户详情。相反，这些文件包含姓名、电子邮件地址、电话号码、送货地址，以及一个显示每位客户累计消费的“总销售额”字段。

对一个概念验证样本的分析显示，每个人的花费层级在1万美元到8.6万美元之间，这加剧了人们对针对性捕鲸攻击和鱼叉式钓鱼攻击的担忧。

开云集团已根据《通用数据保护条例》第33条通知了相关数据保护机构，并通过电子邮件直接与受影响的客户取得了联系。

根据欧盟法规，企业仅需在数据泄露事件对数据主体构成高风险时进行公开披露——开云集团称其已履行直接通知义务。

闪亮猎人的赎金要求

英国广播公司报道称，这名自称“闪亮猎人”的攻击者声称，自6月起已通过 Telegram 与开云集团就比特币（BTC）赎金进行了谈判。

开云集团否认存在任何付费谈判，并确认遵循执法部门的指导，拒绝支付赎金。

与此同时，谷歌的威胁分析小组将一个代号为UNC6040的类似活动归属于“闪亮猎人”（Shiny Hunters），并指出该组织利用被盗的API令牌以及滥用OAuth权限范围，从其他大型公司窃取凭证。

这种模式凸显了不断演变的战术、技术和程序（TTPs），包括：

• 通过社会工程学盗取凭证
• 滥用第三方客户关系管理集成
• 通过加密渠道进行数据窃取

安全专家警告称，泄露的个人身份信息（PII）与客户消费档案相结合，可能会助长二次入侵行为，例如账户接管或SIM卡 swapping，尤其是针对高价值目标时。

受害者应假设诈骗者可能会利用窃取的个人身份信息冒充合法组织。建议的缓解措施包括：

• 在所有账户上启用多因素认证（MFA）。
• 使用独特的、随机生成的密码（例如，由三个随机单词组成的密码短语）。
• 监控信用报告并为可疑活动设置警报。

英国国家网络安全中心建议重置所有电子邮件和电子商务账户的密码，并检查账户恢复设置。对未经请求的电话或电子邮件中要求紧急行动的内容保持警惕，有助于防范后续欺诈。