Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Chick-fil-A Khách hàng có tiền để chọn sau khi tiếp quản tài khoản

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 100

Chuyên gia gà rán Chick-fil-A đã cảnh báo khách hàng về một cuộc tấn công nhồi nhét thông tin xác thực tự động đã diễn ra trong nhiều tháng, ảnh hưởng đến hơn 71,000 khách hàng của họ. theo công ty.

Các cuộc tấn công nhồi thông tin xác thực sử dụng tự động hóa, thường thông qua bot, để kiểm tra nhiều kết hợp tên người dùng-mật khẩu đối với các tài khoản trực tuyến được nhắm mục tiêu. Kiểu vectơ tấn công này được kích hoạt thông qua thông lệ phổ biến là người dùng sử dụng lại cùng một mật khẩu trên các dịch vụ trực tuyến khác nhau; do đó, thông tin đăng nhập được sử dụng trong các cuộc tấn công nhồi thông tin xác thực thường được lấy từ các vụ vi phạm dữ liệu khác và được rao bán từ nhiều nguồn Web đen khác nhau. 

“Sau khi điều tra cẩn thận, chúng tôi đã xác định rằng các bên trái phép đã thực hiện một cuộc tấn công tự động nhằm vào trang web và ứng dụng dành cho thiết bị di động của chúng tôi trong khoảng thời gian từ ngày 18 tháng 2022 năm 12 đến ngày 2023 tháng XNUMX năm XNUMX bằng cách sử dụng thông tin xác thực tài khoản (ví dụ: địa chỉ email và mật khẩu) có được từ nguồn của bên thứ ba, " công ty ghi chú trong một tuyên bố gửi đến những người bị ảnh hưởng.

Thông tin cá nhân bị xâm phạm bao gồm tên, địa chỉ email, số thành viên và số thanh toán di động của khách hàng, cũng như số thẻ tín dụng hoặc thẻ ghi nợ bị che giấu — nghĩa là các bên không được ủy quyền chỉ có thể xem bốn chữ số cuối của số thẻ thanh toán. Số điện thoại, địa chỉ, ngày sinh và tháng cũng bị lộ đối với một số khách hàng.

Chick-fil-A nói thêm rằng sau các cuộc tấn công, họ đã xóa các phương thức thanh toán bằng thẻ tín dụng và thẻ ghi nợ được lưu trữ, tạm thời đóng băng các khoản tiền được nạp trước đó vào tài khoản Chick-fil-A One của khách hàng và khôi phục mọi số dư tài khoản bị ảnh hưởng. Chuỗi cửa hàng thức ăn nhanh cũng đề xuất cách tốt nhất là khách hàng nên đặt lại mật khẩu của mình và sử dụng mật khẩu không dễ đoán và duy nhất cho trang web.

Một số lưu ý rằng trong khi việc sử dụng lại mật khẩu hoặc sử dụng mật khẩu phổ biến và yếu là lỗi của người dùng, Chick-fil-A vẫn phải chịu một số trách nhiệm.

“Đây là biên giới mới của bảo mật thông tin: Những kẻ tấn công đã giành được quyền truy cập vào tài khoản của những người dùng này không phải do lỗi của chủ sở hữu trang web, mà do xu hướng tự nhiên của con người là sử dụng lại tên người dùng/mật khẩu trên nhiều trang web,” cho biết Uriel Maimon, phó chủ tịch phụ trách các sản phẩm mới nổi tại PerimeterX. “Tuy nhiên, bất chấp thực tế đó, các tổ chức có nghĩa vụ pháp lý và đạo đức để bảo vệ thông tin cá nhân và tài chính của người dùng của họ.”

Ông nói thêm: “Điều này nhấn mạnh sự thay đổi trong mô hình trong đó chủ sở hữu trang web không chỉ cần bảo vệ trang web của họ khỏi các cuộc tấn công mạng thông thường mà còn bảo vệ thông tin họ nắm giữ thay mặt cho người dùng. Họ có thể đạt được điều này bằng cách theo dõi các tín hiệu hành vi và pháp y của người dùng đăng nhập để phân biệt giữa người dùng thực và kẻ tấn công.”

Chuỗi cung cấp một số hàng hóa sản xuất, trong trường hợp khách hàng muốn rời khỏi chuồng sau sự cố: “Như một cách bổ sung để nói lời cảm ơn vì đã trở thành khách hàng trung thành của Chick-fil-A, chúng tôi đã thêm phần thưởng vào tài khoản của bạn,” tuyên bố tiếp tục. “Chick-fil-A tiếp tục tăng cường bảo mật, giám sát và kiểm soát gian lận khi thích hợp để giảm thiểu rủi ro của bất kỳ sự cố tương tự nào trong tương lai.”

Đó là báo cáo vào tháng Giêng rằng Chick-fil-A đã điều tra "hoạt động đáng ngờ" trên các tài khoản khách hàng có khả năng bị tấn công. Không rõ tại sao lại mất quá nhiều thời gian để xác định rằng sự kiện bổ sung thông tin xác thực đang diễn ra. Công ty đã không trả lời ngay lập tức yêu cầu bình luận từ Dark Reading.

Các cuộc tấn công nhồi thông tin đang gia tăng

Gần đây, việc nhồi nhét thông tin xác thực đã trở nên phổ biến hơn, được thúc đẩy bởi vô số thông tin xác thực được rao bán trên Dark Web. Thật vậy, việc bán thông tin đăng nhập bị đánh cắp thống trị thị trường ngầm, với hơn 775 triệu thông tin hiện đang được rao bán theo một phân tích trong tuần này.

Vào tháng 35,000, gần XNUMX tài khoản người dùng PayPal đã trở thành nạn nhân của một cuộc tấn công. tấn công nhồi thông tin xác thực rằng dữ liệu cá nhân bị lộ có khả năng được sử dụng để thúc đẩy các cuộc tấn công tiếp theo, bổ sung. Cùng tháng đó, Norton LifeLock cảnh báo khách hàng khả năng tiếp xúc của họ từ cuộc tấn công nhồi thông tin xác thực của chính nó.

Tình hình cũng đã thúc đẩy một cuộc trò chuyện rộng hơn. Với gần hai phần ba số người sử dụng lại mật khẩu để truy cập các trang web khác nhau, một số chuyên gia bảo mật đã phương pháp đề xuất loại bỏ hoàn toàn mật khẩu, bao gồm thay thế chúng bằng khóa bảo mật, sinh trắc học và công nghệ FIDO (Nhận dạng trực tuyến nhanh).

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.