我们并不是每天都能看到如此庞大的数据库被盗。因此，分析被盗数据、了解被盗原因以防止将来再次发生此类事件以及了解其影响至关重要。

让我们开始吧。

10 月 21 日，一位名为“Satanic”的知名威胁行为者发布了一个帖子，试图出售与三家主要零售公司有关的各种数据库：Hot Topic、Torrid 和 Box Lunch（均由 Hot Topic 创立）。

350,000,000 名客户的 PII，包括姓名、电子邮件、地址、电话号码和出生日期。

• 数十亿的付款详情，包括客户信用卡的最后 4 位数字、卡类型、散列到期日期和账户持有人姓名。

• 数十亿忠诚度积分与热门话题和盒装午餐挂钩，与个人资料标识符 (PROFILE_ID) 相关联。威胁行为者可能会利用这些积分来接管帐户，尤其是因为许多积分不会过期，如数据库中所示。

通过汇总这些泄露事件中的所有电子邮件并检查最常见的邮件提供商，Hudson Rock 的研究人员发现了大量 Hot Topic 和 Torrid 电子邮件地址，表明此次泄露很可能与这些公司有关。

威胁行为者要求以 20,000 美元的价格购买这些数据，或者向 Hot Topic 索要 100,000 美元以删除该帖子。

那么，这次巨大的违规行为是如何发生的？

Infostealers

Hudson Rock 研究人员的第一个线索是Infostealers可能参与了此次入侵。通过在Cavalier平台中搜索关键字“hottopic”，研究人员发现一名员工最近于 2024 年 9 月 12 日被Infostealers感染：

研究人员在机器上发现了超过 240 个凭证，其中许多是企业凭证，确定此人受雇于一家名为“Robling”的公司，该公司的描述是“帮助零售商跨孤岛统一数据”。

这与他们为该公司所拥有的各种访问权限一致：

在受感染的计算机中搜索“Hottopic”和“Torrid”时，研究人员在 Snowflake 和 Looker（Google Cloud）上发现了与 Hot Topic 和 Torrid 环境相关的公司 URL 相关的数十个凭据：

除此之外，该员工的浏览历史中也充满了类似的引用，表明其在 Snowflakecomputing(.)com、Azure(.)com 和 Looker(.)com 中与 Hot Topic 和 Torrid 相关的服务中存在敏感访问，[据了解，云服务曾参与过先前的信息窃取相关漏洞。]（https://www.infostealers.com/article/how-hackers-really-used-infostealers-for-the-biggest-recent-cyber-breaches/）

在受感染计算机的浏览历史记录中发现的 URL，显示了对 Hot Topic 和 Torrid 环境的敏感访问

与Satanic的对话

虽然仅凭这些证据还不能最终证明这些公司是如何遭到黑客攻击的，但 Hudson Rock 的研究人员还是联系了“Satanic”以获取更多详细信息。

“Satanic”首先声称此次入侵源自信息窃取者日志：

他们提供的用户名与我们的研究人员正在调查的计算机上找到的用户名相匹配：

通过在受感染的计算机上搜索这个特定的用户名，研究人员发现它主要与 Hot Topic 和 Torrid 的 Snowflake 相关 URL 以及相应的凭据相关。

最后，Satanic 声称，我们强调，黑客声称，此次入侵源于 Snowflake 账户缺乏 MFA 以及“其他链接”：

虽然我们无法确定黑客是否在说实话，但我们有以下证据支持：

• 受影响公司分享的样本证据似乎与索赔相符。

• 最近，一名持有相关权限的员工受到感染，导致 Hot Topic 出现此类漏洞。

• “Satanic” 正在运营一项 Infostealer 日志销售服务，表明他们每天都在使用 Infostealers。

• “Satanic” 在黑客界的名声表明他们有能力实施此类攻击。

根据所有这些，我们坚信这些信息可能是真实的。

请注意，Hudson Rock 曾尝试联系 Hot Topic 和 Robling，但尚未收到答复。

结论

此次入侵事件中被盗的数据（包括个人信息、支付详情和忠诚度积分）可能被黑客利用进行身份盗窃、金融欺诈和账户接管。

此次入侵的规模不仅威胁到个人，也破坏了受影响公司的信任，这严重提醒人们信息窃取者感染带来的风险。

今年，信息窃取者成为网络犯罪分子使用的最强大的初始攻击媒介。他们协助攻击了包括 AT&T、Orange、Ticketmaster、Airbus 在内的一些全球最大公司。

事实上，根据 Kiteworks 报告，2024 年最具破坏性的 5 起数据泄露事件中有 3 起是信息窃取者造成的：