Det populære bryllupsplanlægningswebsted Zola, kendt for sine onlinegaveregistre, administration af gæsteliste og bryllupswebsteder, bekræftede mandag, at hackere havde formået at få adgang til en række af sine brugeres konti og forsøgt at starte svigagtige kontantoverførsler.
I weekenden skrev nogle Zola-brugere på sociale medier, at tilknyttede bankkonti var blevet brugt til at købe gavekort. Et tweet markeret af en Reddit-bruger hævdede at vise, at krakkede Zola-konti blev videresolgt på det sorte marked og brugt til at købe gavekort.
Zolas kommunikationsdirektør, Emily Forrest, fortalte The Verge, at den uautoriserede kontoadgang fandt sted gennem et “credential stuffing”-angreb, hvor hackere testede e-mail- og adgangskodekombinationer stjålet fra andre brud på tværs af en række websteder for at målrette mod folk, der bruger den samme adgangskode. på flere websteder.
“Vi forstår den forstyrrelse og stress, som dette forårsagede nogle af vores par, men vi er glade for at kunne rapportere, at alle forsøg på svigagtig pengeoverførsel blev blokeret,” sagde Forrest. “Kreditkort og bankoplysninger blev aldrig afsløret og er fortsat beskyttet.”
Forrest sagde også, at virksomheden er opmærksom på falske gavekortordrer og arbejder på at rette dem. Hun sagde, at der ikke var noget direkte hack af Zolas infrastruktur, og at færre end 0,1 procent af par, der brugte Zola, var berørt.
Søndag sendte Zola en masse-e-mail ud, der informerede brugerne om, at kontoadgangskoder var automatisk blevet nulstillet. Zola sagde, at denne handling var blevet udvidet til alle webstedsbrugere “af en overflod af forsigtighed”, selvom det store flertal ikke var berørt. Både iOS- og Android-versioner af Zola-appen blev også deaktiveret under hændelsen, men er siden blevet genaktiveret.
Som TechCrunch fremhæver, leverer Zola i øjeblikket ikke nogen to-faktor-godkendelse til kontobrugere, hvilket gør angreb på legitimationsoplysninger langt nemmere at opnå. Manglen på en sekundær godkendelsesproces strider mod bedste praksis for et websted som Zola, der håndterer en stor mængde personligt og økonomisk følsomme brugerdata.
Zola har anvist alle brugere, der har blevet påvirket til at kontakte support@zola.com for yderligere information.