資格情報スタッフィング攻撃におけるベライゾンキャリアの目に見える犠牲者のユーザー

Verizon Visible（携帯電話会社とそのワイヤレスキャリアからの魅力的な価格の製品）を使用していた一部の携帯電話所有者は、目が覚めたところ、新しい高価なiPhoneを注文し、自分以外の住所に配送してロックされていました。彼らのアカウントから、彼らの電子メールとログインは交換されました。

VerizonとVisibleはすぐに説明したので、攻撃はデータ侵害ではなく、Verizonとその無線通信事業者が運営するシステムやネットワークがハッキングされることはありませんでした。むしろ、このインシデントは、中程度に成功した資格情報の詰め込み攻撃の結果である可能性が最も高いです。

資格情報の詰め込みとは、悪意のある攻撃者が漏洩したパスワードまたはパスワードとユーザー名の組み合わせの大規模なデータベースを取得し、このデータを他のサービスやプラットフォームのアカウントと照合しようとするプロセスを指します。もちろん、この攻撃ベクトルは、ユーザーが複数の異なるプラットフォームで同じパスワードまたはユーザー名とパスワードの組み合わせを使用した場合にのみ機能します。残念ながら、これは依然として非常に一般的な方法であり、大量の資格情報の詰め込みがうまく機能する理由です。

10月13日、Visibleは、悪意のある人物が「外部ソース」から取得した資格情報を使用してアカウントにアクセスしたと述べました。当然のことながら、同社は、アカウントが侵害され、他のサービス、特に金融サービスや銀行サービスでも同じ資格情報を使用しているユーザーに、それらの資格情報をすぐに変更するように促しました。

Visibleユーザーアカウントに不正にアクセスした悪意のある人物は、通常、被害者に関連付けられた支払い方法を使用して、新品の高価なiPhoneを注文するために悪用しました。明らかに、目が覚めた人は、巨額の請求書をまとめて、iPhoneを受け取ることすらできなかったことに気づき、かなりのショックを受けました。

この事件は、あなたが持っているすべてのアカウントで異なる、さまざまなログイン資格情報を使用することの重要性を強調しています-私たちが長い間家に帰ろうとしてきたことでもあります。侵害されたアカウントは、何らかの形の多要素認証があらゆるプラットフォームに追加できる大きな価値も強調しています。 MFAはVisibleのプラットフォームでは提供されなかったため、比較的単純で基本的なものであり、一部の顧客は、なぜそうなったのか疑問に思っています。