Χρήστες της Verizon Carrier Visible Victims in Credentials Stuffing Attack

Κάποιοι κάτοχοι κινητών τηλεφώνων που χρησιμοποιούσαν το Verizon Visible - μια προσφορά ελκυστικής τιμής από τον φορέα κινητής τηλεφωνίας και τον ασύρματο φορέα του - ξύπνησαν και διαπίστωσαν ότι μόλις παρήγγειλαν ένα νέο ακριβό iPhone, που αποστέλλεται σε άλλη διεύθυνση από τη δική τους, και ήταν κλειδωμένοι εκτός των λογαριασμών τους, τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα στοιχεία σύνδεσής τους άλλαξαν.

Όπως εξήγησαν γρήγορα η Verizon και η Visible, η επίθεση δεν ήταν παραβίαση δεδομένων και κανένα σύστημα και δίκτυα που λειτουργούσαν από τη Verizon και τον ασύρματο φορέα της δεν παραβιάστηκαν. Μάλλον, το περιστατικό ήταν πιθανότατα το αποτέλεσμα μιας μέτρια επιτυχημένης επίθεσης γεμίσματος διαπιστευτηρίων.

Η συμπλήρωση διαπιστευτηρίων αναφέρεται στη διαδικασία κακών ηθοποιών που αποκτούν μεγάλες βάσεις δεδομένων με διαρροές κωδικών πρόσβασης ή συνδυασμούς κωδικών πρόσβασης και ονόματος χρήστη και στη συνέχεια προσπαθούν να αντιστοιχίσουν αυτά τα δεδομένα με λογαριασμούς σε άλλες υπηρεσίες και πλατφόρμες. Φυσικά, αυτό το διάνυσμα επίθεσης λειτουργεί μόνο εάν ο χρήστης χρησιμοποίησε τον ίδιο κωδικό πρόσβασης ή συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης σε πολλές διαφορετικές πλατφόρμες. Δυστυχώς, αυτή εξακολουθεί να είναι μια πολύ συνηθισμένη πρακτική και αυτός είναι ο λόγος για τον οποίο τα γεμιστικά διαπιστευτηρίων μεγάλου όγκου μπορούν να λειτουργήσουν καλά.

Στις 13 Οκτωβρίου ο Visible δήλωσε ότι οι κακοί ηθοποιοί κατάφεραν να έχουν πρόσβαση σε λογαριασμούς χρησιμοποιώντας διαπιστευτήρια που λαμβάνονται από "εξωτερικές πηγές". Φυσικά, η εταιρεία προέτρεψε τους χρήστες που είχαν παραβιάσει τους λογαριασμούς τους και χρησιμοποιούσαν επίσης τα ίδια διαπιστευτήρια σε άλλες υπηρεσίες, ιδίως σε οικονομικές και τραπεζικές, να αλλάξουν αμέσως αυτά τα διαπιστευτήρια.

Οι κακοί ηθοποιοί που είχαν παράνομη πρόσβαση σε λογαριασμούς χρηστών Ορατών συνήθως τους κακομεταχειρίζονταν για να παραγγείλουν ένα ολοκαίνουργιο, ακριβό iPhone χρησιμοποιώντας τη σχετική μέθοδο πληρωμής του θύματος. Προφανώς, όποιος ξύπνησε για να διαπιστώσει ότι είχε μαζέψει έναν τεράστιο λογαριασμό και δεν επρόκειτο καν να λάβει το iPhone έπαθε σοκ.

Αυτό το περιστατικό υπογραμμίζει τη σημασία της χρήσης διαφορετικών, διαφορετικών διαπιστευτηρίων σύνδεσης σε κάθε λογαριασμό που έχετε - κάτι που προσπαθούμε επίσης να οδηγήσουμε στο σπίτι για μεγάλο χρονικό διάστημα. Οι παραβιασμένοι λογαριασμοί υπογραμμίζουν επίσης τη μεγάλη αξία που μπορεί να προσθέσει κάποια μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων σε οποιαδήποτε πλατφόρμα. Κάτι σχετικά απλό και βασικό καθώς το MFA δεν προσφέρθηκε μέσω της πλατφόρμας του Visible και ορισμένοι πελάτες αναρωτιούνται γιατί συνέβη αυτό.