Gefrituurde kipspecialist Chick-fil-A heeft klanten gewaarschuwd voor een geautomatiseerde credential stuffing-aanval die maanden duurde en meer dan 71,000 van zijn klanten trof. volgens het bedrijf.
Credential stuffing-aanvallen maken gebruik van automatisering, vaak via bots, om talloze combinaties van gebruikersnaam en wachtwoord te testen op gerichte online accounts. Dit type aanvalsvector wordt mogelijk gemaakt door de gebruikelijke praktijk van gebruikers die hetzelfde wachtwoord hergebruiken voor verschillende online services; de inloggegevens die worden gebruikt bij credential stuffing-aanvallen zijn dus meestal afkomstig van andere datalekken en worden te koop aangeboden via verschillende Dark Web-bronnen.
“Na een zorgvuldig onderzoek hebben we vastgesteld dat onbevoegde partijen tussen 18 december 2022 en 12 februari 2023 een geautomatiseerde aanval op onze website en mobiele applicatie hebben uitgevoerd met behulp van accountreferenties (bijv. E-mailadressen en wachtwoorden) verkregen van een externe bron. " het bedrijf genoteerd in een verklaring naar de getroffenen gestuurd.
De gecompromitteerde persoonlijke informatie omvatte namen van klanten, e-mailadressen, lidmaatschapsnummers en mobiele betaalnummers, evenals gemaskeerde creditcard- of bankpasnummers - wat betekent dat onbevoegde partijen alleen de laatste vier cijfers van het betaalkaartnummer konden zien. Van sommige klanten werden ook telefoonnummers, adressen, verjaardag en maand getoond.
Chick-fil-A voegde eraan toe dat het in de nasleep van de aanvallen opgeslagen creditcard- en debetkaartbetaalmethoden heeft verwijderd, tijdelijk bevroren tegoeden die eerder op de Chick-fil-A One-accounts van klanten waren geladen, en alle getroffen rekeningsaldi heeft hersteld. De fastfoodketen raadde klanten ook aan om hun wachtwoord opnieuw in te stellen en een wachtwoord te gebruiken dat niet gemakkelijk te raden is en uniek is voor de website.
Sommigen merkten op dat hoewel hergebruik van wachtwoorden of het gebruik van gewone en zwakke wachtwoorden de schuld is van de gebruikers, Chick-fil-A nog steeds enige verantwoordelijkheid draagt.
"Dit is de nieuwe grens van informatiebeveiliging: aanvallers hebben toegang gekregen tot de accounts van deze gebruikers, niet door een fout van de kant van de website-eigenaar, maar eerder door de natuurlijke menselijke neiging om gebruikersnaam/wachtwoorden op meerdere sites te hergebruiken", zegt Uriel Maimon, vice-president van opkomende producten bij PerimeterX. "En toch hebben organisaties een wettelijke en ethische verplichting om de persoonlijke en financiële informatie van hun gebruikers te beschermen."
Hij voegt eraan toe: “Dit onderstreept de verandering in het paradigma waarin website-eigenaren niet alleen hun sites moeten beschermen tegen standaard cyberaanvallen, maar ook de informatie moeten beschermen die ze namens gebruikers bewaren. Ze kunnen dit bereiken door gedrags- en forensische signalen te volgen van gebruikers die inloggen om onderscheid te maken tussen echte gebruikers en aanvallers.”
De keten bood wat producten aan voor het geval klanten na het incident het hok wilden ontvluchten: "Als extra manier om u te bedanken dat u een loyale Chick-fil-A-klant bent, hebben we beloningen aan uw account toegevoegd", aldus de verklaring voortgezet. "Chick-fil-A blijft haar beveiligings-, monitoring- en fraudecontroles waar nodig verbeteren om het risico op soortgelijke incidenten in de toekomst te minimaliseren."
Het is gemeld in januari dat Chick-fil-A onderzoek had gedaan naar "verdachte activiteit" in mogelijk gehackte klantaccounts. Het is onduidelijk waarom het zo lang duurde om vast te stellen dat de credential-stuffing-gebeurtenis aan de gang was. Het bedrijf reageerde niet onmiddellijk op een verzoek om commentaar van Dark Reading.
Credential Stuffing-aanvallen nemen toe
Credential stuffing komt de laatste tijd vaker voor, aangewakkerd door de legioenen inloggegevens die te koop zijn op het Dark Web. Inderdaad, de verkoop van gestolen inloggegevens domineert ondergrondse markten, met meer dan 775 miljoen geloofsbrieven momenteel te koop Dat blijkt uit een analyse deze week.
In januari werden bijna 35,000 PayPal-gebruikersaccounts het slachtoffer van een credential-stuffing-aanval die persoonlijke gegevens blootlegden die waarschijnlijk zullen worden gebruikt om aanvullende, vervolgaanvallen aan te wakkeren. Diezelfde maand, Norton LifeLock gealarmeerde klanten aan hun potentiële blootstelling door zijn eigen aanval met het vullen van referenties.
De situatie heeft ook geleid tot een breder gesprek. Met bijna tweederde van de mensen die wachtwoorden hergebruiken om toegang te krijgen tot verschillende websites, hebben sommige beveiligingsexperts dat gedaan voorgestelde benaderingen die wachtwoorden helemaal afschaffen, inclusief het vervangen ervan door beveiligingssleutels, biometrie en FIDO-technologie (Fast Identity Online).
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/endpoint/chick-fil-a-customers-bone-to-pick-data-breach
