Ο ειδικός για τηγανητά κοτόπουλο Chick-fil-A έχει ειδοποιήσει τους πελάτες για μια αυτοματοποιημένη επίθεση γεμίσματος διαπιστευτηρίων που διήρκεσε για μήνες, επηρεάζοντας περισσότερους από 71,000 πελάτες της. σύμφωνα με την εταιρεία.
Οι επιθέσεις γεμίσματος διαπιστευτηρίων χρησιμοποιούν αυτοματισμό, συχνά μέσω bots, για να δοκιμάσουν πολλούς συνδυασμούς ονόματος χρήστη-κωδικού πρόσβασης σε στοχευμένους διαδικτυακούς λογαριασμούς. Αυτός ο τύπος διανύσματος επίθεσης ενεργοποιείται μέσω της κοινής πρακτικής των χρηστών να επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε διάφορες διαδικτυακές υπηρεσίες. Επομένως, τα στοιχεία σύνδεσης που χρησιμοποιούνται σε επιθέσεις γεμίσματος διαπιστευτηρίων προέρχονται συνήθως από άλλες παραβιάσεις δεδομένων και προσφέρονται προς πώληση από διάφορες πηγές του Dark Web.
«Μετά από προσεκτική έρευνα, διαπιστώσαμε ότι μη εξουσιοδοτημένα μέρη εξαπέλυσαν μια αυτοματοποιημένη επίθεση κατά του ιστότοπού μας και της εφαρμογής για κινητά μεταξύ 18 Δεκεμβρίου 2022 και 12 Φεβρουαρίου 2023 χρησιμοποιώντας διαπιστευτήρια λογαριασμού (π.χ. διευθύνσεις email και κωδικούς πρόσβασης) που ελήφθησαν από πηγή τρίτου μέρους, " η εταιρία σημειώνεται σε ανακοίνωση αποστέλλονται στους πληγέντες.
Οι παραβιασμένες προσωπικές πληροφορίες περιελάμβαναν ονόματα πελατών, διευθύνσεις email, αριθμούς μελών και αριθμούς πληρωμής μέσω κινητού τηλεφώνου, καθώς και συγκαλυμμένο αριθμό πιστωτικής ή χρεωστικής κάρτας — που σημαίνει ότι τα μη εξουσιοδοτημένα μέρη μπορούσαν να δουν μόνο τα τέσσερα τελευταία ψηφία του αριθμού της κάρτας πληρωμής. Αριθμοί τηλεφώνου, διευθύνσεις, γενέθλια και μήνας εμφανίστηκαν επίσης για ορισμένους πελάτες.
Η Chick-fil-A πρόσθεσε ότι στον απόηχο των επιθέσεων, αφαίρεσε τις αποθηκευμένες μεθόδους πληρωμής με πιστωτική και χρεωστική κάρτα, δέσμευσε προσωρινά κεφάλαια που είχαν προηγουμένως φορτωθεί στους λογαριασμούς Chick-fil-A One των πελατών και αποκατέστησε τυχόν επηρεαζόμενα υπόλοιπα λογαριασμών. Η αλυσίδα fast-food συνέστησε επίσης την βέλτιστη πρακτική να επαναφέρουν οι πελάτες τους κωδικούς πρόσβασής τους και να χρησιμοποιούν έναν κωδικό πρόσβασης που δεν είναι εύκολο να μαντέψει κανείς και είναι μοναδικός στον ιστότοπο.
Ορισμένοι σημείωσαν ότι, ενώ η επαναχρησιμοποίηση του κωδικού πρόσβασης ή η χρήση κοινών και αδύναμων κωδικών πρόσβασης είναι σφάλμα των χρηστών, η Chick-fil-A εξακολουθεί να φέρει κάποια ευθύνη.
"Αυτό είναι το νέο σύνορο ασφάλειας πληροφοριών: Οι εισβολείς έχουν αποκτήσει πρόσβαση στους λογαριασμούς αυτών των χρηστών όχι λόγω αποτυχίας του ιδιοκτήτη του ιστότοπου, αλλά λόγω της φυσικής ανθρώπινης τάσης να επαναχρησιμοποιεί το όνομα χρήστη/κωδικούς πρόσβασης σε πολλούς ιστότοπους", λέει. Uriel Maimon, αντιπρόεδρος αναδυόμενων προϊόντων στην PerimeterX. «Και όμως, παρά το γεγονός αυτό, οι οργανισμοί έχουν νομική και ηθική υποχρέωση να προστατεύουν τις προσωπικές και οικονομικές πληροφορίες των χρηστών τους».
Και προσθέτει, «Αυτό υπογραμμίζει την αλλαγή στο παράδειγμα όπου οι ιδιοκτήτες ιστοτόπων πρέπει όχι μόνο να προστατεύουν τους ιστότοπούς τους από τυπικές επιθέσεις στον κυβερνοχώρο, αλλά και να προστατεύουν τις πληροφορίες που διατηρούν για λογαριασμό των χρηστών. Μπορούν να το επιτύχουν αυτό παρακολουθώντας συμπεριφοριστικά και εγκληματολογικά σήματα χρηστών που συνδέονται, προκειμένου να διαφοροποιήσουν τους πραγματικούς χρήστες και τους εισβολείς».
Η αλυσίδα πρόσφερε κάποια προϊόντα κατασκευής, σε περίπτωση που οι πελάτες ήθελαν να φύγουν από το κοτέτσι μετά το περιστατικό: «Ως επιπλέον τρόπος να σας ευχαριστήσω που είστε πιστός πελάτης Chick-fil-A, προσθέσαμε ανταμοιβές στον λογαριασμό σας», η δήλωση συνεχίζεται. «Το Chick-fil-A συνεχίζει να ενισχύει την ασφάλεια, την παρακολούθηση και τους ελέγχους απάτης όπως αρμόζει για να ελαχιστοποιήσει τον κίνδυνο οποιουδήποτε παρόμοιου περιστατικού στο μέλλον».
Ήταν αναφέρθηκε τον Ιανουάριο ότι η Chick-fil-A διερευνούσε «ύποπτη δραστηριότητα» σε λογαριασμούς πελατών που πιθανώς είχαν παραβιαστεί. Δεν είναι σαφές γιατί χρειάστηκε τόσος χρόνος για να καθοριστεί ότι η εκδήλωση πλήρωσης διαπιστευτηρίων ήταν σε εξέλιξη. Η εταιρεία δεν απάντησε αμέσως σε αίτημα για σχόλιο από την Dark Reading.
Επιθέσεις γεμίσματος διαπιστευτηρίων σε άνοδο
Το γέμισμα διαπιστευτηρίων έχει γίνει πιο συνηθισμένο τον τελευταίο καιρό, τροφοδοτούμενο από τις λεγεώνες των διαπιστευτηρίων προς πώληση στο Dark Web. Πράγματι, η πώληση κλεμμένων διαπιστευτηρίων κυριαρχεί στις υπόγειες αγορές, με περισσότερα από 775 εκατομμύρια διαπιστευτήρια προς πώληση σύμφωνα με ανάλυση αυτή την εβδομάδα.
Τον Ιανουάριο, σχεδόν 35,000 λογαριασμοί χρηστών PayPal έπεσαν θύματα α επίθεση πλήρωσης διαπιστευτηρίων που αποκάλυψαν προσωπικά δεδομένα που πιθανόν να χρησιμοποιηθούν για να τροφοδοτήσουν πρόσθετες, επακόλουθες επιθέσεις. Τον ίδιο μήνα, το Norton LifeLock ειδοποιημένους πελάτες στην πιθανή έκθεσή τους από τη δική της επίθεση πλήρωσης διαπιστευτηρίων.
Η κατάσταση έχει επίσης προκαλέσει μια ευρύτερη συζήτηση. Με σχεδόν τα δύο τρίτα των ανθρώπων να επαναχρησιμοποιούν κωδικούς πρόσβασης για πρόσβαση σε διάφορους ιστότοπους, ορισμένοι ειδικοί σε θέματα ασφάλειας το έχουν κάνει προτεινόμενες προσεγγίσεις που καταργούν εντελώς τους κωδικούς πρόσβασης, συμπεριλαμβανομένης της αντικατάστασής τους με κλειδιά ασφαλείας, βιομετρικά στοιχεία και τεχνολογία FIDO (Fast Identity Online).
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
- 000
- 2022
- 2023
- 7
- a
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- Λογαριασμοί
- Κατορθώνω
- απέναντι
- δραστηριότητα
- προστιθέμενη
- Πρόσθετος
- διευθύνσεις
- Προσθέτει
- Μετά το
- κατά
- ανάλυση
- και
- Εφαρμογή
- κατάλληλος
- επίθεση
- Επιθέσεις
- Αυτοματοποιημένη
- Αυτοματοποίηση
- ισορροπίες
- Αρκούδες
- γίνονται
- είναι
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- βιομετρικά στοιχεία
- BleepingComputer
- ΟΣΤΟ
- bots
- παραβιάσεις
- CA
- κάρτα
- προσεκτικός
- περίπτωση
- αλυσίδα
- αλλαγή
- συνδυασμοί
- σχόλιο
- Κοινός
- εταίρα
- Συμβιβασμένος
- συνέχισε
- συνεχίζεται
- ελέγχους
- Συνομιλία
- θα μπορούσε να
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- μονάδες
- Τη στιγμή
- πελάτης
- Πελάτες
- cyberattacks
- σκοτάδι
- Σκοτεινή ανάγνωση
- Dark Web
- ημερομηνία
- Παραβιάσεις δεδομένων
- Χρέωση
- Χρεωστική κάρτα
- Δεκέμβριος
- Παρά
- Προσδιορίστε
- αποφασισμένος
- DID
- διαφοροποιούν
- ψηφία
- Επικρατώ
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- σμυριδόπετρα
- ενεργοποιημένη
- ηθικά
- Συμβάν
- εμπειρογνώμονες
- εκτεθειμένος
- Έκθεση
- Αποτυχία
- FAST
- Φεβρουάριος
- οικονομικός
- Εξής
- ιατροδικαστική
- απάτη
- από
- Σύνορο
- παγωμένος
- δεσμευμένα κεφάλαια
- Καύσιμα
- χρήματα
- μελλοντικός
- εμπορεύματα
- hacked
- κρατήστε
- HTTPS
- ανθρώπινος
- Ταυτότητα
- αμέσως
- in
- περιστατικό
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- πληροφορίες
- πληροφορίες
- την ασφάλεια των πληροφοριών
- έρευνα
- IT
- Ιανουάριος
- πλήκτρα
- Επίθετο
- ξεκίνησε
- Νομικά
- Πιθανός
- Μακριά
- πιστός
- κάνω
- αγορές
- νόημα
- ιδιότητα του μέλους
- μέθοδοι
- εκατομμύριο
- Κινητό
- παρακολούθηση
- Μηνας
- μήνες
- περισσότερο
- πολλαπλούς
- ονόματα
- Φυσικό
- σχεδόν
- Ανάγκη
- Νέα
- Σημειώνεται
- αριθμός
- αριθμοί
- πολυάριθμες
- λαμβάνεται
- προσφέρονται
- ONE
- διαδικτυακά (online)
- τάξη
- οργανώσεις
- ΑΛΛΑ
- δική
- ιδιοκτήτης
- ιδιοκτήτες
- παράδειγμα
- μέρος
- μέρη
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Πληρωμή
- πληρωμή
- Κάρτα πληρωμής
- μέθοδοι πληρωμής
- PayPal
- People
- προσωπικός
- προσωπικά δεδομένα
- τηλέφωνο
- επιλέξτε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δυναμικού
- ενδεχομένως
- πρακτική
- πρόεδρος
- προηγουμένως
- Προϊόντα
- προστασία
- μάλλον
- Ανάγνωση
- πραγματικός
- συνιστάται
- Καταργήθηκε
- ζητήσει
- Απάντηση
- ευθύνη
- Ανταμοιβές
- Κίνδυνος
- πώληση
- ίδιο
- λέει
- ασφάλεια
- Υπηρεσίες
- σήματα
- παρόμοιες
- Sites
- κατάσταση
- So
- μερικοί
- Πηγή
- Πηγές
- ειδικός
- πρότυπο
- Δήλωση
- Ακόμη
- κλαπεί
- αποθηκεύονται
- γέμιση
- ύποπτος
- στοχευμένες
- Τεχνολογία
- δοκιμή
- Η
- οι πληροφορίες
- τους
- τρίτους
- αυτή την εβδομάδα
- Μέσω
- προς την
- Παρακολούθηση
- δυο τριτα
- συνήθως
- Σε εξέλιξη
- μοναδικός
- χρήση
- Χρήστες
- Χρήστες
- διάφορα
- Vice President
- Θύμα
- Δες
- Ίχνη
- ήθελε
- ιστός
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- εβδομάδα
- ενώ
- ευρύτερο
- Εσείς
- Σας
- zephyrnet