顧客の個人情報がアムトラックのデータ侵害にさらされた可能性がある

先週、National Railroad Passenger CorporationまたはAmtrakは、よく知られているように、バーモント州検事総長官にデータ侵害の通知を提出し、一部の顧客への送信も開始しました。 4月に、未知のサイバー犯罪者（複数の場合もある）がいくつかのアムトラックアカウントにアクセスできたとしています。

私たちが知っていること

攻撃は、4月16日の夕方にアムトラックのITチームが「サードパーティ」がアムトラックのゲストリワードプログラムに参加する旅行者が所有するアカウントに不正アクセスしたことに気付いたときに最初に検出されました。中に入ると、犯罪者はアカウント所有者の個人情報を見ることができました。この通知は、侵害された可能性のある情報に財務データや社会保障番号が含まれていないことを指摘しています。

数時間以内に、アムトラックは侵入者を追い出し、調査を開始しました。これにより、攻撃者が侵害されたログイン資格情報を使用して侵入したことが明らかになりました。影響を受けるアカウントのすべてにパスワードのリセットが強制され、外部のサイバーセキュリティの専門家が呼び出されました違反が解消されたことを確認します。侵害された可能性のあるデータの性質は特に機密性が高いとは思われませんが、影響を受けるお客様は、ExperianのIdentityWorks詐欺防止サービスの1年間のメンバーシップに完全に無料で登録できます。違反通知には、詐欺防止サービスを利用するためにユーザーが行う必要がある手順と、IDの盗難から身を守るためのヒントが添付されています。

その一見、アムトラックは事件を真剣に受け止めているように見え、鉄道サービスが攻撃について知ってから1か月以上経ってからですが、その開示は十分に透明であるようです。ただし、よく見ると、パズルの一部がまだ欠けていることがわかります。

わからないこと

たとえば、侵害された可能性のある情報の正確な性質は不明のままです。クレジットカード番号が含まれていないことはわかっていますが、ユーザーにはアクセスされた可能性のある詳細のリストがまだありません。

影響を受ける顧客の数も謎です。調査は順調に進んでおり、本当に終わったように見えます。つまり、アムトラックは、誰が正確に侵害されたかに気づいていないか、この情報を公に共有することに消極的です。いずれにせよ、何人の人が命中したかがわからないということは、攻撃の規模を判断することが難しいことを意味します。

ただし、アムトラックの開示から欠落している最も重要な情報は、侵害されたログイン資格情報のソースです。攻撃者は2つのオプションがあります。攻撃者は鉄道サービス自体からそれらを盗むか、または無関係な違反の際に漏えいしたデータベースからそれらを奪って、パスワードを再利用する人々のアカウントを侵害するためにそれらを使用しました。

アムトラックからデータが盗まれた場合、少なくとも4月中旬までは、会社がユーザーのパスワードを正しく保存していなかったことを意味します。一方、攻撃者が資格情報の詰め込みを使用していることが判明した場合、アムトラックのユーザーは、最良のパスワードセキュリティプラクティスに従っていないユーザーであることを意味します。

最初のシナリオでは、実際にできることは多くありません。ただし、アムトラックの顧客であるかどうかに関係なく、同じパスワードを複数のアカウントで再利用しないようにすることができます（また、そうする必要があります）。これは、クレデンシャルスタッフィング攻撃が発生した場合に安全を維持する最も簡単な方法です。