Lo specialista di pollo fritto Chick-fil-A ha avvisato i clienti di un attacco automatizzato di riempimento delle credenziali che ha funzionato per mesi, colpendo oltre 71,000 dei suoi clienti, secondo l'azienda.
Gli attacchi di credential stuffing utilizzano l'automazione, spesso tramite bot, per testare numerose combinazioni nome utente-password contro account online mirati. Questo tipo di vettore di attacco è abilitato attraverso la pratica comune degli utenti che riutilizzano la stessa password su vari servizi online; pertanto, le informazioni di accesso utilizzate negli attacchi di riempimento delle credenziali provengono in genere da altre violazioni dei dati e sono offerte in vendita da varie fonti del Dark Web.
"A seguito di un'attenta indagine, abbiamo stabilito che parti non autorizzate hanno lanciato un attacco automatico contro il nostro sito Web e la nostra applicazione mobile tra il 18 dicembre 2022 e il 12 febbraio 2023 utilizzando le credenziali dell'account (ad es. indirizzi e-mail e password) ottenute da una fonte di terze parti, " l'azienda annotato in una dichiarazione inviato alle persone colpite.
Le informazioni personali compromesse includevano nomi dei clienti, indirizzi e-mail, numeri di abbonamento e numeri di pagamento mobile, nonché numeri di carte di credito o di debito mascherati, il che significa che le parti non autorizzate potevano visualizzare solo le ultime quattro cifre del numero della carta di pagamento. Per alcuni clienti sono stati esposti anche numeri di telefono, indirizzi, data di nascita e mese.
Chick-fil-A ha aggiunto che sulla scia degli attacchi, ha rimosso i metodi di pagamento con carta di credito e di debito memorizzati, temporaneamente congelato i fondi precedentemente caricati sui conti Chick-fil-A One dei clienti e ripristinato i saldi dei conti interessati. La catena di fast food ha anche raccomandato ai clienti di reimpostare le password e di utilizzare una password non facile da indovinare e univoca per il sito web.
Alcuni hanno notato che mentre il riutilizzo della password o l'uso di password comuni e deboli è colpa degli utenti, Chick-fil-A ha ancora una certa responsabilità.
"Questa è la nuova frontiera della sicurezza delle informazioni: gli aggressori hanno ottenuto l'accesso agli account di questi utenti non a causa di un errore da parte del proprietario del sito Web, ma piuttosto a causa della naturale tendenza umana a riutilizzare nome utente/password su più siti", afferma Uriel Maimon, vicepresidente dei prodotti emergenti di PerimeterX. "Eppure, nonostante ciò, le organizzazioni hanno l'obbligo legale ed etico di salvaguardare le informazioni personali e finanziarie dei propri utenti".
Aggiunge: “Ciò sottolinea il cambiamento di paradigma in cui i proprietari di siti Web devono non solo proteggere i propri siti dagli attacchi informatici standard, ma anche salvaguardare le informazioni in loro possesso per conto degli utenti. Possono raggiungere questo obiettivo monitorando i segnali comportamentali e forensi degli utenti che accedono al fine di distinguere tra utenti reali e aggressori.
La catena ha offerto alcuni prodotti di fabbricazione, nel caso in cui i clienti volessero fuggire dalla cooperativa dopo l'incidente: "Come ulteriore modo per ringraziarti per essere un fedele cliente di Chick-fil-A, abbiamo aggiunto premi al tuo account", la dichiarazione continuato. "Chick-fil-A continua a migliorare la sicurezza, il monitoraggio e i controlli antifrode in modo appropriato per ridurre al minimo il rischio di incidenti simili in futuro".
Era segnalato a gennaio che Chick-fil-A stava indagando su "attività sospette" su account di clienti potenzialmente compromessi. Non è chiaro perché ci sia voluto così tanto tempo per determinare che l'evento di riempimento delle credenziali fosse in corso. La società non ha risposto immediatamente a una richiesta di commento da parte di Dark Reading.
Credential Stuffing Attacchi in aumento
Il riempimento delle credenziali è diventato più comune ultimamente, alimentato dalle legioni di credenziali in vendita sul Dark Web. In effetti, la vendita di credenziali rubate domina i mercati clandestini, con più di 775 milioni di credenziali attualmente in vendita secondo un'analisi di questa settimana.
A gennaio, quasi 35,000 account utente PayPal sono stati vittime di a attacco di riempimento delle credenziali che ha esposto i dati personali che potrebbero essere utilizzati per alimentare ulteriori attacchi successivi. Quello stesso mese, Norton LifeLock clienti avvisati alla loro potenziale esposizione dal proprio attacco di credential stuffing.
La situazione ha anche stimolato una conversazione più ampia. Con quasi due terzi delle persone che riutilizzano le password per accedere a vari siti Web, alcuni esperti di sicurezza lo hanno fatto approcci proposti che eliminano del tutto le password, inclusa la loro sostituzione con chiavi di sicurezza, dati biometrici e tecnologia FIDO (Fast Identity Online).
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
- 000
- 2022
- 2023
- 7
- a
- accesso
- Secondo
- Il mio account
- conti
- Raggiungere
- operanti in
- attività
- aggiunto
- aggiuntivo
- indirizzi
- Aggiunge
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- .
- ed
- Applicazioni
- opportuno
- attacco
- attacchi
- Automatizzata
- Automazione
- saldi
- Bears
- diventare
- essendo
- MIGLIORE
- fra
- biometria
- BleepingComputer
- OSSO
- bots
- violazioni
- CA
- carta
- attento
- Custodie
- catena
- il cambiamento
- combinazioni
- commento
- Uncommon
- azienda
- Compromissione
- continua
- continua
- controlli
- Conversazione
- potuto
- CREDENZIALI
- Credenziali
- credito
- Attualmente
- cliente
- Clienti
- attacchi informatici
- Scuro
- Lettura oscura
- Web Scuro
- dati
- Violazioni dei dati
- Addebito
- Carta di debito
- Dicembre
- Nonostante
- Determinare
- determinato
- DID
- differenziare
- cifre
- Dominare
- emergenti del mondo
- abilitato
- etico
- Evento
- esperti
- esposto
- Esposizione
- Fallimento
- FAST
- Febbraio
- finanziario
- i seguenti
- forense
- frode
- da
- Frontier
- congelati
- fondi congelati
- Carburante
- fondi
- futuro
- merce
- hacked
- tenere
- HTTPS
- umano
- Identità
- subito
- in
- incidente
- incluso
- Compreso
- info
- informazioni
- informazioni di sicurezza
- indagine
- IT
- Gennaio
- Tasti
- Cognome
- lanciato
- Legale
- probabile
- Lunghi
- leale
- make
- Mercati
- significato
- iscrizione
- metodi
- milione
- Mobile
- monitoraggio
- Mese
- mese
- Scopri di più
- multiplo
- nomi
- Naturale
- quasi
- Bisogno
- New
- noto
- numero
- numeri
- numerose
- ottenuto
- offerto
- ONE
- online
- minimo
- organizzazioni
- Altro
- proprio
- proprietario
- proprietari
- paradigma
- parte
- parti
- Password
- Le password
- Paga le
- Pagamento
- Carta di pagamento
- metodi di pagamento
- PayPal
- Persone
- cronologia
- dati personali
- telefono
- scegliere
- Platone
- Platone Data Intelligence
- PlatoneDati
- potenziale
- potenzialmente
- pratica
- Presidente
- in precedenza
- Prodotti
- protegge
- piuttosto
- Lettura
- di rose
- raccomandato
- rimosso
- richiesta
- Rispondere
- responsabilità
- Rewards
- Rischio
- vendita
- stesso
- dice
- problemi di
- Servizi
- Segnali
- simile
- Siti
- situazione
- So
- alcuni
- Fonte
- fonti
- specialista
- Standard
- dichiarazione
- Ancora
- rubare
- memorizzati
- ripieno
- sospettoso
- mirata
- Tecnologia
- test
- Il
- le informazioni
- loro
- di parti terze standard
- questa settimana
- Attraverso
- a
- Tracking
- due terzi
- tipicamente
- In corso
- unico
- uso
- Utente
- utenti
- vario
- Vicepresidente
- Vittima
- Visualizza
- Wake
- ricercato
- sito web
- Sito web
- siti web
- settimana
- while
- più ampia
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro