知名户外品牌The North Face通知 4月遭攻击部分客户数据被盗

2025年6月3日，户外服装零售商The North Face示警用户，其网站遭遇凭据填充攻击(Credential Stuffing  Attack)，导致部分用户的个人信息被盗。The North Face是美国知名户外品牌，隶属于VF Corporation，年收入超30亿美元。

公司表示：其官网(thenorthface.com)于2025年4月23日出现异常活动。公司迅速展开调查，确认当天网站遭遇小规模凭据填充攻击。这种攻击方式是黑客利用此前数据泄露中获取的用户名和密码组合，自动化尝试登录用户账户。

该公司表示，攻击之所以得逞，部分原因是用户在多个平台重复使用相同凭据，而未启用多重身份验证(Multi-Factor Authentication,MFA)的账户更容易被攻破。

此次攻击导致部分客户信息被泄露，包括全名、购买历史、收货地址、电子邮件、出生日期和电话号码等敏感数据。所幸支付信息未受波及。目前，公司已向受影响用户发送数据泄露通知，并建议用户通过启用MFA和更换密码等加强账户安全。

据悉，这是该品牌自2020年以来第四次发生类似事件，去年12月更曾因勒索软件攻击波及3500万客户。此次事件再次暴露其在账户安全措施方面的短板，引发外界对其安全策略的广泛质疑。目前尚不清楚本轮事件中受影响账户的具体数量。

原文始发于微信公众号（安全学习那些事儿）：知名户外品牌The North Face通知 4月遭攻击部分客户数据被盗