StockX承认可疑活动导致在没有警告的情况下重置密码

StockX，一个流行的买卖运动鞋和其他服装的网站，已经承认它在网站上“警告可疑活动”之后重置了客户密码，尽管它告诉用户这是“系统更新”的结果。我们最近在StockX平台上完成了系统更新，”周四发给TechCrunch的客户的电子邮件说。该电子邮件提供了一个指向密码重置页面的链接，但仅此而已。在1.1亿美元的筹资之后，该公司上个月价值超过10亿美元。出于各种原因始终重置密码。一些安全团队获取以前违反密码的列表，这些密码会在线进行，以与公司存储密码相同的格式对其进行加密，并查找匹配项。通过触发重置，它可以防止从其他站点窃取的密码被用于公司自己的客户之一。在不太理想的情况下，密码会在数据泄露后重置。

但该公司承认，这不是“系统更新”，因为它告诉客户。

StockX发言人Katy Cockrel说：“StockX最近被警告可能涉及我们平台的可疑活动。”“出于谨慎的考虑，我们实施了安全更新，并主动要求我们的社区更新其帐户密码。”

“我们正在继续调查，”发言人说。

StockX周四发送的密码重置电子邮件(图片：提供)

我们询问了几个后续问题 - 包括谁警告StockX可疑活动，是否有任何客户数据遭到入侵以及为什么它错误地表示密码重置的原因 - 但发言人拒绝进一步发表评论。

一整天，客户都在推特发送电子邮件的截图，担心他们的帐户遭到入侵。其他人质疑该电子邮件是否真实或是否是网络钓鱼攻击的一部分。

“他们遭到黑客攻击，以某种方式找到，然后掩盖它发送该电子邮件并要求更改密码?”其中一位受影响的客户告诉TechCrunch。

客户未获得密码重置的预先警告。

StockX的创始人Josh Luber与公司的产品线保持一致，在一条推文中告诉客户，密码重置是“合法的”，但没有回应用户问为什么。

StockX通过样板回复发回给几位客户：“您收到的密码重置电子邮件是合法的，来自我们的团队”，如有疑问，请联系支持电子邮件。我们就是这样做的 - 从我们的TechCrunch电子邮件地址 - 几小时后没有听到任何消息。

安全专家表示怀疑，一家公司会像StockX声称的那样，通过“系统更新”来重置密码。

安全研究员John Wethington说，看到需要密码重置的安全检修是“罕见的”。“你不会随便发一封关于它的电子邮件，”他说。Rendition Infosec的创始人杰克威廉姆斯表示，无论如何这都是“糟糕的沟通”。

有几个人在Twitter上批评StockX处理密码重置问题。

一位客户称该电子邮件为“fishy”，另一位称其为“可疑”，另一位客户则要求公司解释为何他们必须以这种非传统方式重置密码。另一位在推文中说他曾两次询问StockX，但他们“拒绝提供答案”。

“我猜我正在关闭我的帐户，”他说。