6月初,有用户打开东芝官网,屏幕上弹出了一个认证对话框,要求输入用户名和密码。这个登录提示来得毫无预兆——不是在用户主动点击支付或账户管理页面时出现,而是浏览器在后台接收到一条HTTP 401状态码后,自动弹出了认证窗口。几乎同一时间,无印良品的访问者也遇到了相同的状况。
对此,东芝发布了一份简短公告:“我们确认,本网站部分页面可能会显示如下所示的登录界面。我们正在努力消除该界面,但如果您确实看到它,请选择‘取消’,不要输入任何信息。”公告中的表述刻意强调了“取消”这个操作选项,试图在第一时间切断访客输入凭证的可能。无印良品也在本周早些时候发布了类似声明,语气更为谨慎:“目前,我们尚未确认本网站存在未经授权的访问或信息泄露,但为确保客户安全,请您考虑采取应对措施。”
从技术路径看,两家公司遇到的并非自身系统被入侵,而是它们网站中加载的一个外部服务出了问题。这个服务托管在polyfill.io域名下,其内容分发网络在脚本中注入了恶意代码。Polyfill本身是一个面向老旧浏览器的JavaScript兼容方案,允许现代网站在不支持新技术的旧浏览器上正常运行。问题在于,这个服务的代码虽然通过polyfill.io的CDN分发,但该域名从来不属于其开源项目创始人安德鲁·贝茨。
2024年,polyfill.io域名过期后被一家中国实体收购,随后便在脚本中添加了恶意代码。据相关报道,那次事件影响了超过10万个使用Polyfill服务的网站。贝茨当时公开回应,建议网站所有者从自家站点中移除该服务,并将JavaScript CDN服务迁移至新域名polyfill.com,后来又转移至polyfill.top。然而两年过去,部分网站并未清理干净所有页面中的旧版Polyfill代码,残留的代码片段依然嵌在网站的某个角落。
安全研究员帕斯夸莱·皮利特里观察到,从2026年5月下旬开始,polyfill.io域名重新活跃起来,并开始以HTTP 401身份验证请求作为响应。用户浏览器访问东芝、无印良品这类仍残留旧代码的页面时,浏览器将401状态码解读为服务器要求提供用户名和密码的指令,于是自动弹出了那个看似正规的登录对话框。从用户角度看,这个弹窗出现在官方网站的浏览过程中,界面样式、弹出时机都与正常的网站登录认证无异,这恰恰构成了最大的欺骗性。
皮利特里还指出,三星智能电视及其相关网站在6月1日也出现了同样的登录提示。日本媒体则报道称,象印、FiNC Technologies、石药出版社以及在线出版品牌Hobonichi同样受到了这一问题的影响。不过,东芝和无印良品均表示未发现网站被黑客入侵或凭证从这些伪造登录界面泄露的证据,目前两家公司已解决相关问题并停用了该服务。
热门跟贴