Specjalista od smażonych kurczaków Chick-fil-A zaalarmował klientów o zautomatyzowanym ataku polegającym na upychaniu danych uwierzytelniających, który trwał od miesięcy i dotknął ponad 71,000 XNUMX jego klientów, według firmy.
Ataki polegające na upychaniu danych uwierzytelniających wykorzystują automatyzację, często za pośrednictwem botów, do testowania wielu kombinacji nazwy użytkownika i hasła na docelowych kontach internetowych. Ten rodzaj wektora ataku jest możliwy dzięki powszechnej praktyce polegającej na ponownym używaniu tego samego hasła przez użytkowników w różnych usługach online; w związku z tym dane logowania wykorzystywane w atakach polegających na upychaniu danych uwierzytelniających są zwykle pozyskiwane z innych naruszeń danych i są oferowane do sprzedaży z różnych źródeł ciemnej sieci.
„Po dokładnym dochodzeniu ustaliliśmy, że nieupoważnione osoby przeprowadziły automatyczny atak na naszą stronę internetową i aplikację mobilną między 18 grudnia 2022 r. a 12 lutego 2023 r., wykorzystując dane uwierzytelniające do konta (np. adresy e-mail i hasła) uzyskane z zewnętrznego źródła, " Firma odnotowane w oświadczeniu wysłane do poszkodowanych.
Naruszone dane osobowe obejmowały imiona i nazwiska klientów, adresy e-mail, numery członkowskie i numery płatności mobilnych, a także zamaskowany numer karty kredytowej lub debetowej — co oznacza, że osoby nieupoważnione mogły zobaczyć tylko cztery ostatnie cyfry numeru karty płatniczej. W przypadku niektórych klientów ujawniono również numery telefonów, adresy oraz datę urodzenia i miesiąca.
Chick-fil-A dodał, że w następstwie ataków usunął zapisane metody płatności kartami kredytowymi i debetowymi, tymczasowo zamroził środki wcześniej załadowane na konta klientów Chick-fil-A One i przywrócił wszelkie salda kont, których to dotyczyło. Sieć fast foodów zaleciła również najlepszą praktykę polegającą na resetowaniu haseł przez klientów i używaniu hasła, które nie jest łatwe do odgadnięcia i jest unikalne dla witryny.
Niektórzy zauważyli, że chociaż ponowne użycie hasła lub użycie powszechnych i słabych haseł jest winą użytkowników, Chick-fil-A nadal ponosi pewną odpowiedzialność.
„To nowa granica bezpieczeństwa informacji: osoby atakujące uzyskały dostęp do kont tych użytkowników nie w wyniku błędu ze strony właściciela witryny, ale raczej w wyniku naturalnej ludzkiej tendencji do ponownego wykorzystywania nazwy użytkownika/hasła w wielu witrynach” — mówi Uriel Maimon, wiceprezes ds. nowych produktów w firmie PerimeterX. „A mimo to organizacje mają prawny i etyczny obowiązek ochrony danych osobowych i finansowych swoich użytkowników”.
Dodaje: „To podkreśla zmianę paradygmatu, zgodnie z którym właściciele witryn muszą nie tylko chronić swoje witryny przed standardowymi cyberatakami, ale także chronić informacje, które przechowują w imieniu użytkowników. Mogą to osiągnąć, śledząc behawioralne i kryminalistyczne sygnały logowania użytkowników w celu odróżnienia rzeczywistych użytkowników od atakujących”.
Sieć oferowała trochę towarów na wypadek, gdyby klienci chcieli uciec z klatki po incydencie: „Jako dodatkowy sposób podziękowania za bycie lojalnym klientem Chick-fil-A, dodaliśmy nagrody do twojego konta”, oświadczenie nieprzerwany. „Chick-fil-A stale ulepsza swoje zabezpieczenia, monitorowanie i kontrolę oszustw, aby zminimalizować ryzyko wystąpienia podobnych incydentów w przyszłości”.
To było zgłoszone w styczniu że Chick-fil-A badał „podejrzaną aktywność” na potencjalnie zhakowanych kontach klientów. Nie jest jasne, dlaczego tak długo trwało ustalenie, że wydarzenie polegające na upychaniu danych uwierzytelniających było w toku. Firma nie odpowiedziała natychmiast na prośbę Dark Reading o komentarz.
Rosnąca liczba ataków polegających na upychaniu poświadczeń
Upychanie poświadczeń stało się ostatnio bardziej powszechne, napędzane legionami poświadczeń sprzedawanych w Dark Web. Rzeczywiście, sprzedaż skradzionych danych uwierzytelniających dominuje na podziemnych rynkach, z ponad Obecnie w sprzedaży jest 775 milionów poświadczeń według analizy z tego tygodnia.
W styczniu prawie 35,000 XNUMX kont użytkowników PayPal padło ofiarą ataku atak polegający na upychaniu poświadczeń które ujawniły dane osobowe, które prawdopodobnie zostaną wykorzystane do napędzania kolejnych ataków. W tym samym miesiącu Norton LifeLock zaalarmowani klienci na ich potencjalne narażenie w wyniku własnego ataku polegającego na upychaniu danych uwierzytelniających.
Sytuacja wywołała też szerszą dyskusję. Ponieważ prawie dwie trzecie osób ponownie używa haseł w celu uzyskania dostępu do różnych stron internetowych, niektórzy eksperci ds. Bezpieczeństwa to robią proponowane podejścia które całkowicie eliminują hasła, w tym zastępują je kluczami bezpieczeństwa, danymi biometrycznymi i technologią FIDO (Fast Identity Online).
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
- 000
- 2022
- 2023
- 7
- a
- dostęp
- Stosownie
- Konto
- Konta
- Osiągać
- w poprzek
- działalność
- w dodatku
- Dodatkowy
- Adresy
- Dodaje
- Po
- przed
- analiza
- i
- Zastosowanie
- właściwy
- atakować
- Ataki
- zautomatyzowane
- Automatyzacja
- salda
- Niedźwiedzie
- stają się
- jest
- BEST
- pomiędzy
- biometria
- BleepingComputer
- KOŚĆ
- boty
- naruszenia
- CA
- karta
- ostrożny
- walizka
- łańcuch
- zmiana
- kombinacje
- komentarz
- wspólny
- sukcesy firma
- Zagrożone
- nadal
- ciągły
- kontroli
- Rozmowa
- mógłby
- POŚWIADCZENIE
- Listy uwierzytelniające
- kredyt
- Obecnie
- klient
- Klientów
- cyberataki
- Ciemny
- Mroczne czytanie
- Mroczny WWW
- dane
- Naruszenie danych
- Obciążenie
- Karta debetowa
- grudzień
- Mimo
- Ustalać
- ustalona
- ZROBIŁ
- różnicować
- cyfry
- Zdominować
- wschodzących
- włączony
- etyczny
- wydarzenie
- eksperci
- narażony
- Ekspozycja
- Brak
- FAST
- luty
- budżetowy
- następujący
- kryminalistyki
- oszustwo
- od
- Granica
- zamrożone
- zamrożone fundusze
- Paliwo
- fundusze
- przyszłość
- towary
- hacked
- przytrzymaj
- HTTPS
- człowiek
- tożsamość
- natychmiast
- in
- incydent
- włączony
- Włącznie z
- Informacje
- Informacja
- bezpieczeństwo informacji
- śledztwo
- IT
- styczeń
- Klawisze
- Nazwisko
- uruchomiona
- Regulamin
- Prawdopodobnie
- długo
- wierny
- robić
- rynki
- znaczenie
- członkostwo
- metody
- milion
- Aplikacje mobilne
- monitorowanie
- Miesiąc
- miesięcy
- jeszcze
- wielokrotność
- Nazwy
- Naturalny
- prawie
- Potrzebować
- Nowości
- zauważyć
- numer
- z naszej
- liczny
- uzyskane
- oferowany
- ONE
- Online
- zamówienie
- organizacji
- Inne
- własny
- właściciel
- właściciele
- paradygmat
- część
- strony
- Hasło
- hasła
- Zapłacić
- płatność
- Karta płatnicza
- Metody Płatności
- PayPal
- Ludzie
- osobisty
- dane personalne
- telefon
- wybierać
- plato
- Analiza danych Platona
- PlatoDane
- potencjał
- potencjalnie
- praktyka
- prezydent
- poprzednio
- Produkty
- chronić
- raczej
- Czytający
- real
- Zalecana
- Usunięto
- zażądać
- Odpowiadać
- odpowiedzialność
- Nagrody
- Ryzyko
- sprzedaż
- taki sam
- mówią
- bezpieczeństwo
- Usługi
- Sygnały
- podobny
- Witryny
- sytuacja
- So
- kilka
- Źródło
- Źródła
- specjalista
- standard
- Zestawienie sprzedaży
- Nadal
- skradziony
- przechowywany
- farsz
- podejrzliwy
- ukierunkowane
- Technologia
- test
- Połączenia
- Informacje
- ich
- innych firm
- w tym tygodniu
- Przez
- do
- Śledzenie
- dwie trzecie
- zazwyczaj
- W toku
- wyjątkowy
- posługiwać się
- Użytkownik
- Użytkownicy
- różnorodny
- Wiceprezes
- Ofiara
- Zobacz i wysłuchaj
- Budzić
- poszukiwany
- sieć
- Strona internetowa
- strony internetowe
- tydzień
- Podczas
- szerszy
- You
- Twój
- zefirnet