英国线上眼镜商城Vision Direct个资外泄，伪造Google Analytics惹的祸

近期线上购物网站遭到攻击，泄露大量使用者个资或是交易明细的情况，可说是时有所闻，在19日时，英国的线上眼镜商城业者Vision Direct证实，他们的网站出现资料外泄的情况，包含了从11月3日至8日，线上交易的信用卡资讯，以及用户的个资。而根据该公司与多名资安专家的分析，泄露资料的侧录软件，来自于假冒的Google Analytics指令程式码。

这个网络商城业者的声明中指出，只有在前述5天的时间内，在该公司网站上使用信用卡刷卡购物，或是修改个人资料，就可能受到影响，但他们强调，使用Paypal购物的用户不受这次资料外泄事件波及。Vision Direct宣称，他们已经透过电子邮件，通知所有被影响的客户。

该公司表示，只有存放在网站上的资料遭窃，其后端的数据库并未受到波及。Vision Direct指出，这些遭到曝露的用户资料，包括使用者的全名，订单地址、电子邮件信箱、密码、电话号码，还有完整的信用卡资讯，也就是卡号、到期日，以及安全码（CCV）等。

此外，若是使用者透过客服电话，于上述期间内修改自己账号的资料，也同样会被波及。因此对于资料可能遭到泄露的用户，或是信用卡出现盗刷，该公司也请使用者尽速和发卡银行联系。

根据外媒TechCrunch向该公司确认，Vision Direct发言人进一步表示，他们旗下所有网站（英国主站、爱尔兰、挪威、法国、西班牙、意大利，以及柏林网站）都遇害，总计16,300位客户的资料受到影响，其中6,600人涉及交易资料，其余9,700人则是个人资料外泄。

泄露来源是伪造的Google Analytics指令码

自从Vision Direct公布个资外泄事件之后，资安研究员Mikko Hypponen研判，该公司的用户个资是经由在该公司网站上的JavaScript侧录程式泄露。而另一名研究员Troy Mursch则接着从英国主站上发现，这是一个假冒Google Analytics的指令码。再者，上述恶意指令码不只在主站出现，也同样出现在其他的Vision Direct网站里。

针对上述伪冒的指令码研究，先前9月有位研究员Willem de Groot于部落格中揭露他的发现，指出指令码里的导向的网域是g-analytics.com，而非Google所有的google-analytics.com。

我们实际依循研究人员的方法，透过PublicWWW网站搜寻，发现其中许多网站里都出现了冒充Google Analytics的程式库，也包含Vision Direct旗下的英国和西班牙等版本的网站。

Groot还发现，这个指令码所含有的恶意软件，具备自我复制到其他网站的能力，因此他在这次攻击事件的2个月前就警告，电子商务网站必须加以防范。

资安研究员Willem de Groot早于9月6日时，就在部落格中揭露假冒的Google Analytics模组，也指出应与Magecart骇客集团有关。

然而，Vision Direct遭骇之后，该公司发言人表示，上述伪造的指令码他们也向Google通报，但截至目前为止，这些连结仍在存在，而且还会将用户重新导向正牌的Google Analytics网站。