Der Brathähnchen-Spezialist Chick-fil-A hat Kunden auf einen automatisierten Credential-Stuffing-Angriff aufmerksam gemacht, der monatelang lief und mehr als 71,000 seiner Kunden betraf. nach Angaben des Unternehmens.
Credential-Stuffing-Angriffe nutzen Automatisierung, oft durch Bots, um zahlreiche Benutzername-Passwort-Kombinationen gegen gezielte Online-Konten zu testen. Diese Art von Angriffsvektor wird durch die gängige Praxis ermöglicht, dass Benutzer dasselbe Passwort für verschiedene Online-Dienste wiederverwenden; Daher stammen die Anmeldeinformationen, die bei Credential-Stuffing-Angriffen verwendet werden, normalerweise aus anderen Datenschutzverletzungen und werden von verschiedenen Dark-Web-Quellen zum Verkauf angeboten.
„Nach einer sorgfältigen Untersuchung haben wir festgestellt, dass unbefugte Parteien zwischen dem 18. Dezember 2022 und dem 12. Februar 2023 einen automatisierten Angriff auf unsere Website und mobile Anwendung gestartet haben, wobei Kontoanmeldeinformationen (z. B. E-Mail-Adressen und Passwörter) verwendet wurden, die von einer Drittquelle bezogen wurden. " das Unternehmen in einer Erklärung vermerkt an Betroffene verschickt.
Zu den kompromittierten persönlichen Daten gehörten Kundennamen, E-Mail-Adressen, Mitgliedsnummern und mobile Zahlungsnummern sowie maskierte Kredit- oder Debitkartennummern – was bedeutet, dass Unbefugte nur die letzten vier Ziffern der Zahlungskartennummer sehen konnten. Bei einigen Kunden wurden auch Telefonnummern, Adressen sowie Geburtstag und Monat offengelegt.
Chick-fil-A fügte hinzu, dass es nach den Angriffen gespeicherte Kredit- und Debitkartenzahlungsmethoden entfernt, zuvor auf die Chick-fil-A One-Konten der Kunden geladene Gelder vorübergehend eingefroren und alle betroffenen Kontostände wiederhergestellt habe. Die Fast-Food-Kette empfahl auch die Best Practice, dass Kunden ihre Passwörter zurücksetzen und ein Passwort verwenden, das nicht leicht zu erraten und für die Website einzigartig ist.
Einige merkten an, dass die Wiederverwendung von Passwörtern oder die Verwendung allgemeiner und schwacher Passwörter zwar die Schuld der Benutzer ist, Chick-fil-A jedoch immer noch eine gewisse Verantwortung trägt.
„Dies ist die neue Grenze der Informationssicherheit: Angreifer haben Zugriff auf die Konten dieser Benutzer erlangt, nicht durch ein Versagen des Website-Eigentümers, sondern aufgrund der natürlichen menschlichen Tendenz, Benutzernamen/Passwörter über mehrere Websites hinweg wiederzuverwenden“, sagt er Uriel Maimon, Vizepräsident für neue Produkte bei PerimeterX. „Trotz dieser Tatsache haben Organisationen eine rechtliche und ethische Verpflichtung, die persönlichen und finanziellen Informationen ihrer Benutzer zu schützen.“
Er fügt hinzu: „Dies unterstreicht den Paradigmenwechsel, bei dem Website-Eigentümer ihre Websites nicht nur vor Standard-Cyberangriffen schützen müssen, sondern auch die Informationen, die sie im Namen der Benutzer besitzen. Sie können dies erreichen, indem sie verhaltensbezogene und forensische Signale von Benutzern verfolgen, die sich anmelden, um zwischen echten Benutzern und Angreifern zu unterscheiden.“
Die Kette bot einige Markenartikel an, falls Kunden nach dem Vorfall aus dem Stall fliehen wollten: „Als zusätzliche Möglichkeit, sich bei Ihnen dafür zu bedanken, dass Sie ein treuer Chick-fil-A-Kunde sind, haben wir Ihrem Konto Belohnungen hinzugefügt“, heißt es in der Erklärung fortgesetzt. „Chick-fil-A verbessert weiterhin seine Sicherheits-, Überwachungs- und Betrugskontrollen, um das Risiko ähnlicher Vorfälle in der Zukunft zu minimieren.“
Es war im Januar gemeldet dass Chick-fil-A „verdächtige Aktivitäten“ in potenziell gehackten Kundenkonten untersucht hatte. Es ist unklar, warum es so lange gedauert hat, festzustellen, dass das Credential-Stuffing-Ereignis im Gange war. Das Unternehmen reagierte nicht sofort auf eine Bitte um Stellungnahme von Dark Reading.
Credential-Stuffing-Angriffe auf dem Vormarsch
Credential Stuffing ist in letzter Zeit häufiger geworden, angeheizt durch die Legionen von Anmeldeinformationen, die im Dark Web zum Verkauf stehen. In der Tat dominiert der Verkauf gestohlener Anmeldeinformationen die Untergrundmärkte mit mehr als 775 Millionen Anmeldeinformationen stehen derzeit zum Verkauf laut einer Analyse in dieser Woche.
Im Januar fielen fast 35,000 PayPal-Benutzerkonten einem zum Opfer Credential-Stuffing-Angriff die personenbezogene Daten offengelegt haben, die wahrscheinlich dazu verwendet werden, weitere Folgeangriffe zu schüren. Im selben Monat Norton LifeLock alarmierte Kunden vor ihrer potenziellen Gefährdung durch einen eigenen Credential-Stuffing-Angriff.
Die Situation hat auch zu einem breiteren Gespräch geführt. Da fast zwei Drittel der Menschen Passwörter wiederverwenden, um auf verschiedene Websites zuzugreifen, haben einige Sicherheitsexperten dies getan vorgeschlagene Ansätze die ganz auf Passwörter verzichten und sie durch Sicherheitsschlüssel, Biometrie und FIDO-Technologie (Fast Identity Online) ersetzen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
- 000
- 2022
- 2023
- 7
- a
- Zugang
- Nach
- Konto
- Trading Konten
- Erreichen
- über
- Aktivität
- hinzugefügt
- Zusätzliche
- Adressen
- Fügt
- Nach der
- gegen
- Analyse
- und
- Anwendung
- angemessen
- Attacke
- Anschläge
- Automatisiert
- Automation
- Guthaben
- Bären
- werden
- Sein
- BESTE
- zwischen
- Biometrie
- PiependerComputer
- KNOCHEN
- Bots
- Verstöße
- CA
- Karte
- vorsichtig
- Häuser
- Kette
- Übernehmen
- Kombinationen
- Kommentar
- gemeinsam
- Unternehmen
- Kompromittiert
- weiter
- weiter
- Steuerung
- Gespräch
- könnte
- KREDENTIAL
- Referenzen
- Kredit
- Zur Zeit
- Kunde
- Kunden
- Cyber-Angriffe
- Dunkel
- Dunkle Lektüre
- Dunkle Web
- technische Daten
- Datenverstöße
- Soll
- Debitkarte
- Dezember
- Trotz
- Bestimmen
- entschlossen
- DID
- unterscheiden
- Ziffern
- Dominieren
- aufstrebenden
- freigegeben
- ethisch
- Event
- Experten
- ausgesetzt
- Belichtung
- Scheitern
- FAST
- Februar
- Revolution
- Folgende
- Forensik
- Betrug
- für
- Grenze
- eingefroren
- eingefrorene Gelder
- Treibstoff
- Mittel
- Zukunft
- Waren
- gehackt
- HTTPS
- human
- Identitätsschutz
- sofort
- in
- Zwischenfall
- inklusive
- Einschließlich
- Info
- Information
- Informationssicherheit
- Untersuchung
- IT
- Januar
- Tasten
- Nachname
- ins Leben gerufen
- Rechtlich
- wahrscheinlich
- Lang
- treu
- um
- Märkte
- Bedeutung
- Mitgliedschaft
- Methoden
- Million
- Mobil
- Überwachung
- Monat
- Monat
- mehr
- mehrere
- Namen
- Natürliche
- fast
- Need
- Neu
- bekannt
- Anzahl
- Zahlen
- und viele
- erhalten
- angeboten
- EINEM
- Online
- Auftrag
- Organisationen
- Andere
- besitzen
- Eigentümer
- Besitzer
- Paradigma
- Teil
- Parteien
- Passwort
- Passwörter
- AUFMERKSAMKEIT
- Zahlung
- Zahlungskarte
- Zahlungsarten
- PayPal
- Personen
- persönliche
- Daten
- Telefon
- wählen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Potenzial
- möglicherweise
- Praxis
- Präsident
- vorher
- Produkte
- Risiken zu minimieren
- lieber
- Lesebrillen
- echt
- empfohlen
- Entfernt
- Anforderung
- Reagieren
- Verantwortung
- Belohnung
- Risiko
- Salz
- gleich
- sagt
- Sicherheitdienst
- Lösungen
- Signale
- ähnlich
- Seiten
- Situation
- So
- einige
- Quelle
- Quellen
- Spezialist
- Standard
- Erklärung
- Immer noch
- gestohlen
- gelagert
- Füllung
- misstrauisch
- gezielt
- Technologie
- Test
- Das
- die Informationen
- ihr
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- diese Woche
- Durch
- zu
- Tracking
- zwei Drittel
- typisch
- Unterwegs
- einzigartiges
- -
- Mitglied
- Nutzer
- verschiedene
- Vizepräsident:in
- Opfer
- Anzeigen
- Wake
- wollte
- Netz
- Webseite
- Webseiten
- Woche
- während
- breiter
- Du
- Ihr
- Zephyrnet