ΑρχικήsecurityGeneral Motors (GM): Credential stuffing επίθεση εξέθεσε δεδομένα πελατών

General Motors (GM): Credential stuffing επίθεση εξέθεσε δεδομένα πελατών

Η αμερικανική αυτοκινητοβιομηχανία General Motors (GM) αποκάλυψε ότι έπεσε θύμα credential stuffing επίθεσης που εξέθεσε δεδομένα πελατών και επέτρεψε στους επιτιθέμενους να εξαργυρώσουν πόντους ανταμοιβής για δωροκάρτες.

GM δεδομένα πελατών

Η General Motors διαθέτει μια διαδικτυακή πλατφόρμα που βοηθά τους ιδιοκτήτες οχημάτων Chevrolet, Buick, GMC και Cadillac να διαχειρίζονται τους λογαριασμούς, τις υπηρεσίες τους και να εξαργυρώνουν πόντους ανταμοιβής.

Δείτε επίσης: Clearview AI: Πρόστιμο από το Ηνωμένο Βασίλειο για συλλογή δεδομένων

Οι ιδιοκτήτες αυτοκινήτων μπορούν να εξαργυρώσουν πόντους ανταμοιβής της GM για οχήματα GM, σέρβις αυτοκινήτων, αξεσουάρ και με την αγορά OnStar service plans.

General Motors Credential stuffing

General Motors (GM): Credential stuffing επίθεση

Σύμφωνα με την εταιρεία, η κακόβουλη δραστηριότητα εντοπίστηκε μεταξύ 11 και 29 Απριλίου 2022.

Γράφουμε για ένα follow up του email μας [ΗΜΕΡΟΜΗΝΙΑ] προς εσάς, ενημερώνοντάς σας για ένα περιστατικό που περιλαμβάνει τον εντοπισμό πρόσφατης εξαργύρωσης των πόντων ανταμοιβής σας που φαίνεται να έγινε χωρίς την εξουσιοδότησή σας“, εξηγεί μια ειδοποίηση παραβίασης δεδομένων που εστάλη σε πελάτες που επηρεάζονται.

Η αυτοκινητοβιομηχανία δηλώνει ότι θα επαναφέρει τους πόντους ανταμοιβής για όλους τους πελάτες, που επηρεάστηκαν από αυτό το περιστατικό.

Δείτε επίσης: Predator spyware μόλυνε συσκευές Android χρησιμοποιώντας zero-days

Σύμφωνα με την εταιρεία, αυτές οι παραβιάσεις δεν είναι αποτέλεσμα χακαρίσματος της General Motors, αλλά προκλήθηκαν από credential stuffing επιθέσεις που στοχεύουν πελάτες στην πλατφόρμα της. Σε αυτού του είδους τις επιθέσεις, οι εγκληματίες χρησιμοποιούν συνδυασμούς ονόματος χρήστη και κωδικών πρόσβασης που έχουν διαρρεύσει από παλιές παραβιάσεις δεδομένων άλλων ιστότοπων. Χρησιμοποιώντας αυτούς τους συνδυασμούς, οι επιτιθέμενοι προσπαθούν να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών σε έναν ιστότοπο. Άλλωστε δεν είναι λίγες οι φορές, που οι χρήστες χρησιμοποιούν τα ίδια credentials σε πολλούς διαφορετικούς λογαριασμούς.

Με βάση την έρευνα μέχρι σήμερα, δεν υπάρχουν στοιχεία ότι οι πληροφορίες σύνδεσης ελήφθησαν από την ίδια την GM“, εξηγεί μια διαφορετική ειδοποίηση παραβίασης δεδομένων από την General Motors.

Πιστεύουμε ότι μη εξουσιοδοτημένοι χρήστες απέκτησαν πρόσβαση σε credentials πελατών που είχαν παραβιαστεί στο παρελθόν σε άλλους ιστότοπους που δεν έχουν σχέση με την GM, και αυτά τα credentials είχαν χρησιμοποιηθεί ξανά σε GM accounts“.

Η General Motors ζητά από τους χρήστες να επαναφέρουν τους κωδικούς πρόσβασής τους, πριν συνδεθούν ξανά στους λογαριασμούς τους.

General Motors: Παραβίαση δεδομένων πελατών

Από τη στιγμή που οι hackers παραβιάζουν με επιτυχία έναν λογαριασμό GM, μπορούν να έχουν πρόσβαση σε ορισμένες πληροφορίες που είναι αποθηκευμένες στο site. Αυτές οι πληροφορίες περιλαμβάνουν:

  • Όνομα και επίθετο,
  • προσωπική διεύθυνση email,
  • προσωπική διεύθυνση κατοικίας,
  • όνομα χρήστη και αριθμό τηλεφώνου για εγγεγραμμένα μέλη της οικογένειας που συνδέονται με τον λογαριασμό,
  • OnStar package (εάν υπάρχει),
  • avatars και φωτογραφίες των μελών της οικογένειας (εάν έχουν μεταφορτωθεί),
  • εικόνα προφίλ,
  • πληροφορίες αναζήτησης και προορισμού

Επιπλέον, οι hackers που παραβιάζουν λογαριασμούς GM μπορούν να αποκτήσουν πρόσβαση το ιστορικό χιλιομέτρων αυτοκινήτου, το ιστορικό σέρβις, τις επαφές έκτακτης ανάγκης, τις ρυθμίσεις σημείων πρόσβασης Wi-Fi (συμπεριλαμβανομένων των κωδικών πρόσβασης) και άλλα.

Δείτε επίσης: Η Ρωσική ομάδα Turla πραγματοποιεί επιθέσεις κατά της Αυστρίας και της Εσθονίας

Τα GM accounts δεν περιέχουν πληροφορίες, όπως ημερομηνία γέννησης, αριθμό κοινωνικής ασφάλισης, αριθμό άδειας οδήγησης, στοιχεία πιστωτικής κάρτας ή στοιχεία τραπεζικού λογαριασμού. Επομένως, αυτά τα στοιχεία δεν έχουν παραβιαστεί σίγουρα.

Δυστυχώς, ο διαδικτυακός ιστότοπος της General Motors δεν υποστηρίζει έλεγχο ταυτότητας δύο παραγόντων, κάτι που θα μπορούσε να εμποδίσει τη διεξαγωγή επιτυχημένων credential stuffing επιθέσεων. Ωστόσο, είναι δυνατή η προσθήκη ενός PIN που πρέπει να χρησιμοποιούν οι πελάτες για όλες τις αγορές.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS