Kundernes personlige oplysninger kan være blevet udsat for et databeskyttelsesforhold til Amtrak

I sidste uge indgav National Railroad Passenger Corporation eller Amtrak, som det er bedre kendt, en anmeldelse af dataovertrædelse til Vermont Attorney General Office, og det begyndte også at sende det til nogle af sine kunder. Det siger, at i april lykkedes det en ukendt cyberkriminalitet (eller cyberkriminelle) at få adgang til nogle Amtrak-konti.

Hvad vi ved

Angrebet blev først opdaget om aftenen den 16. april, da Amtrak's IT-team bemærkede, at "en tredjepart" havde fået uautoriseret adgang til konti, der ejes af rejsende, der deltager i Amtrak's Guest Rewards-program. Da de var inde, kunne kriminelle se kontoejers personlige oplysninger. Meddelelsen påpeger, at de potentielt kompromitterede oplysninger ikke inkluderer økonomiske data eller sociale sikkerhedsnumre.

Inden for få timer startede Amtrak indtrængende og indledte en efterforskning, som afslørede, at angriberen brugte kompromitterede loginoplysninger for at bryde ind. En nulstilling af adgangskode blev tvunget til hver eneste af de berørte konti, og uden for cybersikkerhedseksperter blev kaldt til bekræft, at overtrædelsen er afsluttet. Selvom arten af de potentielt kompromitterede data ikke synes at være særlig følsom, kan berørte kunder tilmelde sig et års medlemskab af Experian's IdentityWorks-svigbeskyttelsestjeneste helt gratis. Overtrædelsesmeddelelsen ledsages af instruktioner om, hvad brugere skal gøre for at drage fordel af svigbeskyttelsestjenesten samt tip til, hvordan de kan beskytte sig mod identitetstyveri.

I lyset af det ser det ud til, at Amtrak tager hændelsen alvorligt, og selvom den kom mere end en måned efter, at jernbanetjenesten fik kendskab til angrebet, synes afsløringen at være gennemsigtig nok. Når du ser nærmere på, vil du dog se, at nogle stykker af puslespillet stadig mangler.

Hvad vi ikke ved

Den nøjagtige karakter af de potentielt kompromitterede oplysninger for eksempel forbliver ukendt. Vi ved, at der ikke var involveret nogen kreditkortnumre, men brugere har stadig ikke en liste over detaljer, der muligvis er blevet adgang til.

Antallet af berørte kunder er også et mysterium. Undersøgelsen ser ud til at være godt og virkelig forbi, hvilket betyder, at Amtrak enten ikke er opmærksom på, hvem der blev kompromitteret nøjagtigt, eller ikke er villig til at dele disse oplysninger offentligt. Uanset hvad, ved ikke at vide, hvor mange der blev ramt, betyder det, at det er vanskeligt at bestemme omfanget af angrebet.

Den mest afgørende bit information, der mangler fra Amtrak's afsløring, er imidlertid kilden til de kompromitterede loginoplysninger. Der er to muligheder: angriberen stjal dem enten fra jernbanetjenesten, eller de hentede dem fra en database lækket under et uafhængigt brud og brugte dem til at kompromittere konti for mennesker, der genbruger deres adgangskoder.

Hvis dataene blev stjålet fra Amtrak, ville det betyde, at virksomheden i det mindste indtil midten af april ikke lagrede brugernes adgangskoder korrekt. På den anden side, hvis det viser sig, at angriberen brugte legitimationsopfyldning, ville det betyde, at Amtrak's brugere er dem, der ikke følger de bedste sikkerhedsrutiner for adgangskode.

I det første scenarie er der virkelig ikke meget, du kan gøre. Uanset om du er Amtrak-kunde eller ikke, kan du dog (og skal) sørge for, at du ikke genbruger den samme adgangskode til mere end en konto. Dette er den nemmeste måde at være sikker på i tilfælde af et legitimationsudstoppningsangreb.