Les utilisateurs de Verizon Carrier Visible Victims in Credentials Stuffing Attack

Certains propriétaires de téléphones portables qui utilisaient Verizon Visible - une offre à prix attractif de l'opérateur mobile et de son opérateur sans fil - se sont réveillés pour découvrir qu'ils venaient de commander un nouvel iPhone coûteux, expédié à une adresse autre que la leur, et ont été verrouillés hors de leurs comptes, leurs e-mails et leurs identifiants ont été échangés.

Comme Verizon et Visible l'ont rapidement expliqué, l'attaque n'était pas une violation de données et aucun système ni réseau exploité par Verizon et son opérateur sans fil n'a été piraté. Au contraire, l'incident était très probablement le résultat d'une attaque de bourrage d'informations d'identification modérément réussie.

Le bourrage d'informations d'identification fait référence au processus par lequel des acteurs malveillants obtiennent de grandes bases de données de mots de passe ou de combinaisons de mots de passe et de noms d'utilisateur divulgués, puis tentent de faire correspondre ces données avec des comptes sur d'autres services et plates-formes. Bien entendu, ce vecteur d'attaque ne fonctionne que si l'utilisateur a utilisé le même mot de passe ou la même combinaison de nom d'utilisateur et de mot de passe sur plusieurs plateformes différentes. Malheureusement, il s'agit toujours d'une pratique très courante et c'est pourquoi le bourrage d'informations d'identification en grand volume peut bien fonctionner.

Le 13 octobre, Visible a déclaré que des acteurs malveillants avaient réussi à accéder à des comptes en utilisant des informations d'identification obtenues de "sources extérieures". Naturellement, la société a exhorté les utilisateurs dont les comptes ont été piratés et qui utilisaient également ces mêmes informations d'identification dans d'autres services, en particulier financiers et bancaires, à modifier ces informations d'identification immédiatement.

Les mauvais acteurs qui ont accédé illégalement aux comptes d'utilisateurs de Visible en ont généralement abusé pour commander un tout nouvel iPhone coûteux en utilisant le mode de paiement associé à la victime. De toute évidence, tous ceux qui se sont réveillés pour découvrir qu'ils avaient accumulé une facture énorme et n'allaient même pas recevoir l'iPhone ont été choqués.

Cet incident souligne l'importance d'utiliser des identifiants de connexion différents et variés sur chaque compte que vous possédez - quelque chose que nous essayons également de mettre en œuvre depuis longtemps. Les comptes violés soulignent également la grande valeur qu'une forme d'authentification multifacteur peut ajouter à n'importe quelle plate-forme. Quelque chose de relativement simple et basique car MFA n'était pas proposé via la plate-forme de Visible et certains clients se demandent maintenant pourquoi c'était le cas.