A sült csirke specialistája, Chick-fil-A figyelmeztette az ügyfeleket egy automatizált hitelesítő töltelék-támadásra, amely hónapokig tartott, és több mint 71,000 XNUMX ügyfelét érintette. a cég szerint.
A hitelesítő adatok kitöltésére irányuló támadások automatizálást alkalmaznak, gyakran botokon keresztül, hogy számos felhasználónév-jelszó kombinációt teszteljenek megcélzott online fiókokkal szemben. Ezt a fajta támadási vektort az a bevett gyakorlat teszi lehetővé, hogy a felhasználók ugyanazt a jelszót használják különböző online szolgáltatásokban; így a hitelesítő adatok kitöltésével kapcsolatos támadásoknál használt bejelentkezési adatok általában más adatszivárgásokból származnak, és különféle Dark Web forrásokból kínálják eladásra.
„Gondos vizsgálatot követően megállapítottuk, hogy illetéktelen felek 18. december 2022. és 12. február 2023. között automatizált támadást indítottak webhelyünk és mobilalkalmazásunk ellen harmadik féltől származó hitelesítő adatok (pl. e-mail címek és jelszavak) felhasználásával. " a cég jegyezte meg közleményében elküldjük az érintetteknek.
A feltört személyes adatok között szerepelt az ügyfelek neve, e-mail címe, tagsági száma és mobil fizetőszáma, valamint maszkolt hitel- vagy betéti kártyaszám – vagyis az illetéktelenek csak a kártyaszám utolsó négy számjegyét láthatták. Egyes ügyfelek telefonszámai, címei, születésnapja és hónapja is nyilvánosságra került.
A Chick-fil-A hozzátette, hogy a támadások nyomán eltávolította a tárolt hitel- és betéti kártyás fizetési módokat, ideiglenesen lefagyasztotta az ügyfelek Chick-fil-A One számláira korábban feltöltött pénzeszközöket, és helyreállította az érintett számlaegyenlegeket. A gyorséttermi lánc azt a bevált gyakorlatot is javasolta, hogy az ügyfelek visszaállítsák jelszavaikat, és olyan jelszót használjanak, amelyet nem könnyű kitalálni, és csak a webhelyre jellemző.
Egyesek megjegyezték, hogy bár a jelszavak újrafelhasználása vagy a gyakori és gyenge jelszavak használata a felhasználók hibája, a Chick-fil-A továbbra is bizonyos felelősséget visel.
„Ez az információbiztonság új határa: a támadók nem a webhely tulajdonosának hibája miatt jutottak hozzá ezeknek a felhasználóknak a fiókjaihoz, hanem annak a természetes emberi hajlamnak köszönhetően, hogy több webhelyen is újrafelhasználják a felhasználóneveket/jelszavakat” Uriel Maimon, a PerimeterX feltörekvő termékekért felelős alelnöke. "És ennek ellenére a szervezeteknek jogi és etikai kötelezettségük van felhasználóik személyes és pénzügyi információinak védelmében."
Hozzáteszi: „Ez aláhúzza azt a paradigmaváltást, amely szerint a webhelytulajdonosoknak nemcsak webhelyeiket kell megvédeniük a szokásos kibertámadásoktól, hanem a felhasználók nevében tárolt információkat is. Ezt úgy érhetik el, hogy nyomon követik a bejelentkező felhasználók viselkedési és kriminalisztikai jeleit, hogy különbséget tudjanak tenni a valódi felhasználók és a támadók között.
A lánc néhány gyártmányt kínált arra az esetre, ha az ügyfelek az incidens után el akarnának menekülni a szövetkezetből: „További módja annak, hogy köszönetet mondjunk, hogy hűséges kisfiú vásárlók vagyunk, jutalmakat adtunk a fiókjához” – olvasható a közleményben. folytatta. "A Chick-fil-A továbbra is javítja biztonságát, felügyeletét és csalásellenőrzését, hogy a jövőben minimálisra csökkentse a hasonló események kockázatát."
Volt januárban jelentették hogy Chick-fil-A potenciálisan feltört ügyfélfiókok „gyanús tevékenységét” vizsgálta. Nem világos, hogy miért tartott olyan sokáig annak megállapítása, hogy a hitelesítő adatok kitöltése folyamatban van. A vállalat nem válaszolt azonnal a Dark Reading megjegyzéskérésére.
Emelkedik a hitelesítő támadások
Az utóbbi időben egyre gyakoribb a hitelesítő adatok kitöltése, amit a Sötét Weben eladható hitelesítő adatok légiója táplál. Valójában az ellopott igazolványok értékesítése uralja a földalatti piacokat, több mint Jelenleg 775 millió igazolvány eladó egy e heti elemzés szerint.
Januárban közel 35,000 XNUMX PayPal felhasználói fiók esett áldozatul a hitelesítő adattömés támadás amelyek felfedték a személyes adatokat, amelyeket valószínűleg további, követő támadások elősegítésére használnak fel. Ugyanebben a hónapban a Norton LifeLock riasztotta az ügyfeleket potenciális kitettségükre a saját hitelesítő adatokkal való betömés támadása miatt.
A helyzet szélesebb körű beszélgetésre is késztetett. Az emberek közel kétharmada ismételten használja a jelszavakat különböző webhelyek eléréséhez, egyes biztonsági szakértők ezt megtették javasolt megközelítések amelyek teljesen megszüntetik a jelszavakat, beleértve a biztonsági kulcsokkal, biometrikus adatokkal és FIDO (Fast Identity Online) technológiával való helyettesítését.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
- 000
- 2022
- 2023
- 7
- a
- hozzáférés
- Szerint
- Fiók
- Fiókok
- Elérése
- át
- tevékenység
- hozzáadott
- További
- címek
- Hozzáteszi
- Után
- ellen
- elemzés
- és a
- Alkalmazás
- megfelelő
- támadás
- Támadások
- Automatizált
- Automatizálás
- egyenlegek
- Medvék
- válik
- hogy
- BEST
- között
- biometrikus
- BleepingComputer
- CSONT
- botok
- megsértésének
- CA
- kártya
- óvatos
- eset
- lánc
- változik
- kombinációk
- megjegyzés
- Közös
- vállalat
- Veszélyeztetett
- tovább
- tovább
- ellenőrzések
- Beszélgetés
- tudott
- HITELEZÉS
- Hitelesítő adatok
- hitel
- Jelenleg
- vevő
- Ügyfelek
- cyberattacks
- sötét
- Sötét olvasmány
- Sötét web
- dátum
- Adatok megsértése
- tartozás
- Betéti kártya
- december
- Ellenére
- Határozzuk meg
- eltökélt
- DID
- különbséget
- számjegy
- dominálnak
- csiszolókő
- engedélyezve
- etikai
- esemény
- szakértők
- kitett
- Exponálás
- Kudarc
- GYORS
- február
- pénzügyi
- következő
- kriminalisztika
- csalás
- ból ből
- Határ
- fagyasztva
- befagyasztott pénzeszközök
- Üzemanyag
- alapok
- jövő
- áruk
- csapkodott
- tart
- HTTPS
- emberi
- Identitás
- azonnal
- in
- incidens
- beleértve
- Beleértve
- info
- információ
- információ biztonság
- vizsgálat
- IT
- január
- kulcsok
- keresztnév
- indított
- Jogi
- Valószínű
- Hosszú
- hűséges
- csinál
- piacok
- jelenti
- tagság
- mód
- millió
- Mobil
- ellenőrzés
- Hónap
- hónap
- több
- többszörös
- nevek
- Természetes
- közel
- Szükség
- Új
- neves
- szám
- számok
- számos
- kapott
- felajánlott
- ONE
- online
- érdekében
- szervezetek
- Más
- saját
- tulajdonos
- tulajdonosok
- paradigma
- rész
- fél
- Jelszó
- jelszavak
- Fizet
- fizetés
- Bankkártya
- fizetési módok
- PayPal
- Emberek (People)
- személyes
- személyes adat
- telefon
- vedd
- Plató
- Platón adatintelligencia
- PlatoData
- potenciális
- potenciálisan
- gyakorlat
- elnök
- korábban
- Termékek
- védelme
- Inkább
- Olvasás
- igazi
- ajánlott
- eltávolított
- kérni
- Reagálni
- felelősség
- Jutalmak
- Kockázat
- eladás
- azonos
- azt mondja,
- biztonság
- Szolgáltatások
- jelek
- hasonló
- Webhely (ek)
- helyzet
- So
- néhány
- forrás
- Források
- szakember
- standard
- nyilatkozat
- Még mindig
- lopott
- memorizált
- töltelék
- gyanús
- célzott
- Technológia
- teszt
- A
- az információ
- azok
- harmadik fél
- ezen a héten
- Keresztül
- nak nek
- Csomagkövetés
- kétharmadát
- jellemzően
- úton
- egyedi
- használ
- használó
- Felhasználók
- különféle
- Alelnök
- Áldozat
- Megnézem
- Ébred
- kívánatos
- háló
- weboldal
- honlapok
- hét
- míg
- szélesebb
- te
- A te
- zephyrnet