据Security affairs等网站消息，澳大利亚零售巨头Woolworths 批露了近期旗下子公司MyDeal一起影响 220 万用户的数据泄露事件，攻击者已在黑客论坛上发帖出售被盗数据。

根据批露的信息，攻击者使用泄露的用户凭证访问了公司客户关系管理 (CRM) 系统，查看并导出了220万条用户信息。

这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息，部分还涉及用户的出生日期。但MyDeal 声明没有泄露任何支付信息、政府 ID 或帐户密码。

MyDeal 已开始向受影响的用户发送数据泄露通知，并表示未收到通知的用户不受影响。

攻击者开始出售 MyDeal 数据

10月16日，黑客已开始在一个黑客论坛上以 600 美元的价格出售被盗数据，声称该数据目前包含 100 万个条目，其他数据还在逐步解析中。在随后发布的样本中，攻击者展示了 其中286 名MyDeal 用户所泄露的个人信息。

由于一些黑客已经习惯购买被盗数据用于其他网络犯罪活动，因此安全人员表示所有 MyDeal 用户需要警惕可能存在的有针对性的网络钓鱼攻击。

据悉，Woolworths在上个月刚完成了对MyDeal 80%的股份收购，使其成为旗下的一家子公司。至于Woolworths是否也会在此次数据泄露事件中受到牵连，该公司表示他们的系统位于完全不同的平台上，不受此次事件的影响。

来源：FreeBuf