【科技24时区】运动服饰与健身数据公司Under Armour近日表示,正在就一起大规模数据泄露指控展开调查。此前,一名网络犯罪分子在黑客论坛上公开了数百万条客户记录,并向相关媒体声称,这些数据源自去年11月的一次入侵事件。当时,名为“Everest”的勒索软件团伙曾在其暗网泄露网站上宣称对此负责。
本周,该事件引发广泛关注。知名数据泄露通知平台Have I Been Pwned(HIBP)获取了被盗数据副本,并已通过电子邮件通知约7200万名用户,其个人信息可能已被泄露。据HIBP披露,此次泄露的数据包括用户姓名、电子邮箱地址、性别、出生日期,以及基于邮政编码或ZIP码推算出的大致地理位置。此外,部分记录还包含用户的购买信息。
相关报道显示,据知情者从数据售卖者处获得了一份样本文件,其中包含数百万条Under Armour客户的购物记录,其数据类型与HIBP所报告的内容高度一致。值得注意的是,泄露数据中还包含大量属于Under Armour员工的电子邮件地址,暴露出企业内部通信信息亦未能幸免。
面对质询,Under Armour发言人马特·多尼克(Matt Dornic)回应称,公司“已知悉有未经授权的第三方获取了部分数据”,并强调“在外部网络安全专家协助下,相关调查仍在进行中”。他特别指出,截至目前,“没有证据表明此次事件影响了UA.com官网、支付处理系统或客户密码存储系统”。
多尼克进一步表示:“目前已知受影响的客户中,拥有任何可被视作‘敏感信息’的用户仅占极小比例。”然而,当被追问公司具体如何界定“敏感信息”、以及确切受影响用户数量时,发言人未予立即回应。他还强调:“任何暗示数千万客户敏感个人信息已被泄露的说法均无事实依据。”
截至目前,Under Armour尚未说明是否计划主动通知所有受影响用户,也未透露是否收到黑客方面的勒索要求或其他形式的联系。这一沉默态度,与其在2018年MyFitnessPal应用1.5亿用户数据泄露事件后的应对方式形成鲜明对比,引发外界对其危机响应机制透明度的质疑。
分析指出,此次事件再次凸显大型消费品牌在客户数据管理中的系统性风险。尽管企业强调核心交易系统未被攻破,但营销、CRM及用户行为分析等外围系统往往成为攻击者的突破口。随着Everest等勒索组织转向“纯数据勒索”模式,企业亟需重新评估数据最小化原则与分层访问控制策略的有效性。
