Μία από τις μεγαλύτερες εταιρείες ενέργειας του Ηνωμένου Βασιλείου, η Npower, αναγκάστηκε να απενεργοποιήσει το mobile app της, όταν έμαθε για μια συντονισμένη credential stuffing εκστρατεία με στόχο τους χρήστες της.
Η Npower έχει ενημερώσει όλους τους πελάτες που έχουν επηρεαστεί από τις credential stuffing επιθέσεις, αν και προς το παρόν δεν είναι ξεκάθαρο πόσοι λογαριασμοί χρηστών έχουν επηρεαστεί.
Οι επιτιθέμενοι μπορεί να απέκτησαν πρόσβαση σε προσωπικά στοιχεία όπως: ημερομηνίες γέννησης, στοιχεία επικοινωνίας και διευθύνσεις, μερικές οικονομικές πληροφορίες (τέσσερα τελευταία ψηφία των αριθμών τραπεζικών λογαριασμών) κ.ά.
Λέγεται ότι οι πελάτες της εταιρείας ενέργειας, ενημερώθηκαν για το συμβάν στις αρχές Φεβρουαρίου.
“Κλειδώσαμε αμέσως τους διαδικτυακούς λογαριασμούς που επηρεάστηκαν, μπλοκάραμε ύποπτες διευθύνσεις IP και απενεργοποιήσαμε την εφαρμογή Npower“, ανέφερε σε μια δήλωση η εταιρεία.
Η εταιρεία ενέργειας ενημέρωσε, επίσης, το Γραφείο του Επιτρόπου Πληροφοριών και την Action Fraud.
“Η ασφάλεια και η προστασία των δεδομένων των πελατών μας είναι η πρώτη μας προτεραιότητα“, είπε η Npower.
Η Npower είχε σκοπό να αφαιρέσει το mobile app, αλλά οι credential stuffing επιθέσεις επιτάχυναν τη διαδικασία.
Οι credential stuffing επιθέσεις είναι επιτυχημένες εξαιτίας ενός συχνού λάθους που κάνουν πολλοί χρήστες. Το λάθος αυτό είναι η χρήση των ίδιων κωδικών πρόσβασης σε πολλές εφαρμογές και sites. Αν παραβιαστεί ένας λογαριασμός, μπορούν να παραβιαστούν και οι υπόλοιποι, αφού οι επιτιθέμενοι χρησιμοποιούν τα κλεμμένα credentials σε ένα λογισμικό, που τα δοκιμάζει σε πολλά διαφορετικά sites.
Ο James McQuiggan της KnowBe4 εξήγησε ότι οι χρήστες μπορούν να δοκιμάσουν δωρεάν monitoring υπηρεσίες, όπως το HaveIBeenPwned, για να ελέγξουν εάν τα credentials και τα δεδομένα τους έχουν παραβιαστεί.
“Η παρακολούθηση των κωδικών πρόσβασης είναι το πρώτο βήμα για την προστασία των λογαριασμών σας. Το δεύτερο βήμα είναι να αλλάζετε τον κωδικό πρόσβασης αν έχει παραβιαστεί. Το τρίτο βήμα είναι να έχετε μοναδικούς και ισχυρούς κωδικούς πρόσβασης για κάθε λογαριασμό που δημιουργείτε, για να μειώσετε την πιθανότητα επιτυχημένης credential stuffing επίθεσης. Τέλος, χρησιμοποιώντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), μπορείτε να προσθέσετε ένα επιπλέον επίπεδο προστασίας σε έναν λογαριασμό“, είπε.
Πηγή: Infosecurity Magazine