网络攻击者对窃取可识别个人信息PII的渴望似乎永无止境。本周,行业内曝光了Subway的勒索软件攻击,以及最近对另一家知名餐饮品牌Jasons Deli发生的凭证填充攻击。
根据提交给缅因州的报告,Jasons Deli的官员透露,超过344000名顾客的个人信息可能已经暴露。而Subway则在LockBit勒索软件组织于1月21日声称成功入侵其计算机系统并窃取大量个人数据后启动了调查。
Jasons Deli在致顾客的信中表示,他们在12月21日发现“未授权方”获取了“Deli Dollar”及在线账户的登录凭证,而这些凭证很可能来自其他数据泄露或与餐厅无关的其他渠道。
“这些未授权的方似乎使用这些登录凭证来验证是否与我们的奖励和在线账户匹配,”杰森餐厅表示。“例如,如果您在开设Jason’s Deli账户时使用了与其他已被泄露的网站或账户相同的用户名和密码组合,这将理论上允许他们访问您的Jason’s Deli账户。”
该公司还补充说,他们认为此次事件并非由于未授权方侵入Jasons Deli系统获取的信息,因为他们不存储或保留顾客的登录凭据。
狂飙梯子下载尽管Jasons Deli建议顾客更改用户名并使用更强的密码,但并没有提及多因素身份验证MFA,而安全专家表示,MFA在这种情况下是非常必要的。截止发稿时,尝试联系Jasons Deli对MFA问题进行评论的努力未果。
“虽然‘仅仅实施MFA’似乎是一个过于简单的解决方案,但它确实如此,”CYE的首席信息安全官Ira Winkler表示。“凭证填充依赖于用户在多个账户中重复使用相同的密码,而且至少其中一个账户被攻陷,凭证被出售或在暗网或其他渠道上可获得。犯罪分子仅需获取受损凭证的列表,并自动在其他网站通常是零售或银行上输入这些凭证,以方便他们进一步攻击。”
Winkler指出,实施MFA使得攻击变得极其困难,因为如果用户确实在被“填充”的网站上重复使用了密码,攻击将会被立刻阻止,除非犯罪分子已经实施了复杂的系统来破坏MFA。理想情况下,这类MFA工具不应仅依赖于简单的推送确认,即用户仅需在移动设备上批准请求。使用推送通知的MFA疲劳攻击可能导致用户接受登录请求。Winkler建议,潜在受害网站应理想地具有要求用户更主动的行动,而不仅仅是简单确认的系统,或者在用户拒绝MFA推送时对账户采取限制。
当被问及为何最近会有大量攻击针对三明治店和熟食店时,Delinea的首席安全科学家与顾问CISO Joseph Carson表示,使用凭证填充技术的网络犯罪分子并不特别针对这些餐厅。
“但这些在线服务并没有对凭证填充攻击进行防护,并且依赖用户选择独特强密码,”Carson表示。“不幸
