프라이드 치킨 전문업체인 Chick-fil-A는 몇 달 동안 실행되어 71,000명 이상의 고객에게 영향을 미친 자동화된 크리덴셜 스터핑 공격에 대해 고객에게 알렸습니다. 회사에 따르면.
크리덴셜 스터핑 공격은 종종 봇을 통해 자동화를 사용하여 대상 온라인 계정에 대해 수많은 사용자 이름-암호 조합을 테스트합니다. 이러한 유형의 공격 벡터는 사용자가 다양한 온라인 서비스에서 동일한 암호를 재사용하는 일반적인 관행을 통해 활성화됩니다. 따라서 크리덴셜 스터핑 공격에 사용되는 로그인 정보는 일반적으로 다른 데이터 유출에서 소싱되며 다양한 다크 웹 소스에서 판매용으로 제공됩니다.
“신중한 조사에 따라 우리는 승인되지 않은 당사자가 18년 2022월 12일부터 2023년 XNUMX월 XNUMX일 사이에 제XNUMX자 출처에서 얻은 계정 자격 증명(예: 이메일 주소 및 비밀번호)을 사용하여 우리 웹사이트 및 모바일 애플리케이션에 대한 자동 공격을 시작한 것으로 확인했습니다. " 그 회사 성명서에서 언급 피해를 입은 사람들에게 보냈습니다.
유출된 개인 정보에는 고객의 이름, 이메일 주소, 회원 번호, 휴대폰 결제 번호, 마스킹된 신용 카드 또는 직불 카드 번호가 포함되어 있습니다. 전화번호, 주소, 생년월일도 일부 고객에게 노출됐다.
Chick-fil-A는 공격 이후 저장된 신용 카드 및 직불 카드 결제 방법을 제거하고 이전에 고객의 Chick-fil-A One 계정에 로드된 자금을 일시적으로 동결했으며 영향을 받은 계정 잔액을 복구했다고 덧붙였습니다. 패스트푸드 체인점도 고객이 비밀번호를 재설정하고 웹 사이트 고유의 비밀번호를 추측하기 쉽지 않은 비밀번호를 사용하는 모범 사례를 권장했습니다.
일부에서는 비밀번호를 재사용하거나 일반적이고 취약한 비밀번호를 사용하는 것은 사용자의 잘못이지만 여전히 Chick-fil-A에 약간의 책임이 있다고 지적했습니다.
"이것은 정보 보안의 새로운 개척지입니다. 공격자는 웹 사이트 소유자의 실패를 통해서가 아니라 여러 사이트에서 사용자 이름/암호를 재사용하려는 인간의 자연스러운 경향 때문에 이러한 사용자 계정에 액세스할 수 있습니다."라고 말합니다. PerimeterX의 신흥 제품 담당 부사장인 Uriel Maimon입니다. "그런 사실에도 불구하고 조직은 사용자의 개인 정보와 금융 정보를 보호해야 할 법적, 윤리적 의무가 있습니다."
그는 “이는 웹 사이트 소유자가 표준 사이버 공격으로부터 사이트를 보호할 뿐만 아니라 사용자를 대신하여 보유하고 있는 정보도 보호해야 하는 패러다임의 변화를 강조합니다. 실제 사용자와 공격자를 구별하기 위해 로그인하는 사용자의 행동 및 포렌식 신호를 추적하여 이를 달성할 수 있습니다.”
이 체인점은 사건 이후 고객이 우리를 떠나고 싶어하는 경우를 대비해 일부 제품을 제공했습니다. 계속되는. "Chick-fil-A는 향후 유사한 사고의 위험을 최소화하기 위해 보안, 모니터링 및 사기 통제를 적절하게 강화하고 있습니다."
그건 1 월에보고 됨 Chick-fil-A는 잠재적으로 해킹된 고객 계정에서 "의심스러운 활동"을 조사하고 있었습니다. 크리덴셜 스터핑 이벤트가 진행 중임을 확인하는 데 왜 그렇게 오래 걸렸는지는 확실하지 않습니다. 회사는 Dark Reading의 논평 요청에 즉시 응답하지 않았습니다.
크리덴셜 스터핑 공격 증가
다크 웹에서 판매되는 수많은 자격 증명에 힘입어 최근 자격 증명 스터핑이 더욱 보편화되었습니다. 실제로 훔친 자격 증명의 판매는 지하 시장을 지배하고 있습니다. 현재 판매 중인 775억 XNUMX만 개의 자격 증명 이번 주 분석에 따르면.
35,000월에 거의 XNUMX개의 PayPal 사용자 계정이 크리덴셜 스터핑 공격 노출된 개인 데이터는 추가적인 후속 공격을 촉진하는 데 사용될 수 있습니다. 같은 달에 Norton LifeLock 경고 고객 자체 크리덴셜 스터핑 공격으로 인해 잠재적으로 노출될 수 있습니다.
상황은 또한 더 넓은 대화를 촉발했습니다. 거의 XNUMX/XNUMX의 사람들이 비밀번호를 재사용하여 다양한 웹사이트에 액세스하고 있기 때문에 일부 보안 전문가는 제안된 접근법 보안 키, 생체 인식 및 FIDO(Fast Identity Online) 기술로 대체하는 것을 포함하여 암호를 완전히 없애줍니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
