Brugere af Verizon Carrier Synlige Ofre i Legitimationsopfyldninger Angreb
Nogle mobiltelefon -ejere, der brugte Verizon Visible - et attraktivt tilbud fra mobiloperatøren og dennes trådløse operatør - vågnede for at opdage, at de lige har bestilt en ny dyr iPhone, sendt til en anden adresse end deres egen, og var låst ud af deres konti skiftede deres e -mails og logins ud.
Da Verizon og Visible var hurtige til at forklare, var angrebet ikke et brud på data, og der blev ikke hacket ind i nogen systemer og netværk, der drives af Verizon og dets trådløse operatør. Hændelsen var snarere sandsynligvis resultatet af et moderat vellykket fyldningsangreb med legitimationsoplysninger.
Credentials stuffing refererer til processen med dårlige aktører, der får store databaser med lækkede adgangskoder eller adgangskode- og brugernavnkombinationer og derefter forsøger at matche disse data med konti på andre tjenester og platforme. Denne angrebsvektor fungerer naturligvis kun, hvis brugeren brugte den samme adgangskode eller samme brugernavn og adgangskodekombination på tværs af flere forskellige platforme. Desværre er dette stadig en meget almindelig praksis, og derfor kan fyldning af legitimationsoplysninger i stor mængde fungere godt.
Den 13. oktober oplyste Visible, at dårlige aktører formåede at få adgang til konti ved hjælp af legitimationsoplysninger hentet fra "eksterne kilder". Selskabet opfordrede naturligvis brugere, der havde brudt deres konti og også brugte de samme legitimationsoplysninger på tværs af andre tjenester, især finansielle og bankmæssige, til straks at ændre disse legitimationsoplysninger.
De dårlige aktører, der ulovligt fik adgang til Synlige brugerkonti, misbrugte dem normalt til at bestille en helt ny, dyr iPhone ved hjælp af offerets tilhørende betalingsmetode. Det er klart, at alle, der vågnede for at opdage, at de havde fået en kæmpe regning og ikke engang ville modtage iPhone, fik et ganske chok.
Denne hændelse understreger vigtigheden af at bruge forskellige, varierede loginoplysninger på tværs af hver konto, du har - noget, som vi også har forsøgt at køre hjem i lang tid. De overtrådte konti understreger også den store værdi, en form for multifaktorgodkendelse kan tilføre enhver platform. Noget relativt enkelt og grundlæggende, da MFA ikke blev tilbudt via Visible's platform, og nogle kunder spekulerer nu på, hvorfor det var tilfældet.
