Ο αμερικανικός λιανοπωλητής Hot Topic αποκάλυψε ότι δύο κύματα credential stuffing επιθέσεων που έλαβαν χώρα τον Νοέμβριο του 2023, μπορεί να οδήγησαν σε παραβίαση δεδομένων πελατών, ενώ επηρεάστηκαν και κάποια στοιχεία πληρωμών. Η αλυσίδα fast-fashion έχει πάνω από 630 καταστήματα στις ΗΠΑ και τον Καναδά.
Σε επιθέσεις credential stuffing, οι επιτιθέμενοι χρησιμοποιούν αυτοματοποιημένα εργαλεία για να ενεργοποιήσουν εκατομμύρια απόπειρες σύνδεσης σε λογαριασμούς, χρησιμοποιώντας συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης. Η τεχνική αυτή είναι ιδιαίτερα αποτελεσματική όταν οι χρήστες επαναχρησιμοποιούν τα στοιχεία σύνδεσης σε πολλές πλατφόρμες.
Δείτε επίσης: Fujitsu: Εντόπισε malware στα συστήματα και παραβίαση δεδομένων πελατών
Η Hot Topic στέλνει επιστολές στους πελάτες που μπορεί να έχουν επηρεαστεί από την παραβίαση δεδομένων. Σύμφωνα με αυτές τις επιστολές, οι εισβολείς στόχευαν λογαριασμούς Hot Topic Rewards σε αυτοματοποιημένες επιθέσεις, χρησιμοποιώντας στοιχεία σύνδεσης που ελήφθησαν από άγνωστη πηγή.
“Διαπιστώσαμε ότι μη εξουσιοδοτημένα μέρη εξαπέλυσαν αυτοματοποιημένες επιθέσεις κατά του ιστότοπού μας και της εφαρμογής για κινητά στις 18-19 Νοεμβρίου και στις 25 Νοεμβρίου 2023, χρησιμοποιώντας έγκυρα credentials λογαριασμού (π.χ. διευθύνσεις email και κωδικούς πρόσβασης) που ελήφθησαν από άγνωστη πηγή τρίτου μέρους“, είπε συγκεκριμένα η Hot Topic.
Οι ευαίσθητες πληροφορίες που θα μπορούσαν να έχουν εκτεθεί, περιλαμβάνουν ονόματα πελατών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ιστορικά παραγγελιών, αριθμούς τηλεφώνου, μήνες και ημέρες γέννησης και διευθύνσεις αλληλογραφίας.
Δείτε επίσης: France Travail: Παραβίαση δεδομένων επηρεάζει 43 εκατ. άτομα
Η Hot Topic λέει ότι οι παραβιασμένοι λογαριασμοί Rewards θα επέτρεπαν στους εισβολείς να έχουν πρόσβαση μόνο σε μερικά δεδομένα πληρωμής, συγκεκριμένα στα τέσσερα τελευταία ψηφία του αριθμού της κάρτας.
Η εταιρεία συνεργάζεται με εξωτερικούς εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας για τη δημιουργία εργαλείων, που θα αποτρέψουν αντίστοιχες επιθέσεις.
Επιπλέον, η Hot Topic θα απαιτήσει από τους πελάτες, που λαμβάνουν τις ειδοποιήσεις παραβίασης δεδομένων, να δημιουργήσουν έναν νέο κωδικό πρόσβασης για τους λογαριασμούς και τις εφαρμογές τους.
Η παραβίαση προσωπικών δεδομένων και τραπεζικών στοιχείων των πελατών μπορεί να οδηγήσει σε αυξημένη πιθανότητα απάτης, καθώς οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τα κλεμμένα δεδομένα για να πραγματοποιήσουν παράνομες δραστηριότητες.
Η κατάσταση οδηγεί, επίσης, σε παραβίαση της ιδιωτικότητας των πελατών, καθώς τα προσωπικά τους δεδομένα μπορούν να διαρρεύσουν στο διαδίκτυο και να τα αποκτήσουν και άλλοι εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Πανεπιστήμιο Στάνφορντ: Παραβίαση δεδομένων επηρεάζει 27.000 άτομα
Επιπλέον, οι επιθέσεις αυτές μπορούν να προκαλέσουν σημαντική ζημιά στην εικόνα και τη φήμη της Hot Topic, καθώς οι πελάτες μπορεί να αρχίσουν να αμφιβάλλουν για την ικανότητά της να προστατεύει τα προσωπικά τους δεδομένα.
Πηγή: www.bleepingcomputer.com