Popularna witryna do planowania ślubów Zola, znana z internetowych rejestrów prezentów, zarządzania listą gości i witryn ślubnych, potwierdziła w poniedziałek, że hakerzy zdołali uzyskać dostęp do kont wielu swoich użytkowników i próbowali zainicjować nieuczciwe przelewy pieniężne.
W weekend niektórzy użytkownicy Zoli napisali w mediach społecznościowych, że połączone konta bankowe zostały używane do zakupu kart podarunkowych. Jeden ćwierkać oflagowany przez użytkownika Reddita, który twierdził, że pokazuje, że złamane konta Zola są odsprzedawane na czarnym rynku i używane do kupowania bonów upominkowych.
Dyrektor ds. komunikacji Zoli, Emily Forrest, powiedziała Pogranicze że nieautoryzowany dostęp do konta miał miejsce w wyniku ataku polegającego na „upychaniu poświadczeń”, podczas którego hakerzy testują kombinacje e-maili i haseł skradzione z innych naruszeń w różnych witrynach internetowych, aby atakować osoby używające tego samego hasła w wielu witrynach.
„Rozumiemy zakłócenia i stres, które spowodowało to niektóre z naszych par, ale z przyjemnością informujemy, że wszystkie próby nieuczciwych prób transferu środków pieniężnych zostały zablokowane” – powiedział Forrest. „Karty kredytowe i informacje bankowe nigdy nie zostały ujawnione i nadal są chronione”.
Forrest powiedział również, że firma jest świadoma fałszywych zamówień na karty podarunkowe i pracuje nad ich poprawą. Powiedziała, że nie doszło do bezpośredniego włamania do infrastruktury Zoli i że dotyczyło to mniej niż 0,1 procent par korzystających z Zoli.
W niedzielę Zola wysłała masową wiadomość e-mail informującą użytkowników, że hasła do kont zostały automatycznie zresetowane. Zola powiedział, że ta akcja została rozszerzona na wszystkich użytkowników witryny „z dużej ostrożności”, chociaż zdecydowana większość nie została naruszona. Obie wersje aplikacji Zola na iOS i Androida również zostały wyłączone podczas incydentu, ale od tego czasu zostały ponownie włączone.
Jak TechCrunch pasemka, Zola obecnie nie zapewnia uwierzytelniania dwuskładnikowego dla użytkowników kont, co znacznie ułatwia przeprowadzenie ataków polegających na upychaniu poświadczeń. Brak wtórnego procesu uwierzytelniania jest sprzeczny z najlepszymi praktykami dla witryny takiej jak Zola, która obsługuje dużą ilość danych osobowych i wrażliwych finansowo użytkowników.
Zola kieruje wszystkich użytkowników, których to dotyczy, do kontaktu wsparcie@zola.com w celu uzyskania dalszych informacji.