„Verizon Carrier“ naudotojai matė aukas įgaliojimų užpildymo atakoje
Kai kurie mobiliųjų telefonų savininkai, kurie naudojo „Verizon Visible“ - patrauklios kainos pasiūlymą iš mobiliojo ryšio operatoriaus ir jo belaidžio ryšio operatoriaus - pabudo ir sužinojo, kad ką tik užsisakė naują brangų „iPhone“, pristatomą kitu adresu nei jie, ir buvo užrakinti iš savo paskyrų pasikeitė jų el. laiškai ir prisijungimo duomenys.
Kaip greitai paaiškino „Verizon“ ir „Visible“, ataka nebuvo duomenų pažeidimas ir nebuvo įsilaužta į „Verizon“ ir jos belaidžio ryšio operatoriaus valdomas sistemas ir tinklus. Greičiau incidentas greičiausiai įvyko dėl vidutiniškai sėkmingo įgaliojimų pildymo išpuolio.
Kredencialų užpildymas reiškia blogų veikėjų procesą, kai jie gauna dideles nutekintų slaptažodžių arba slaptažodžių ir naudotojo vardų derinių duomenų bazes ir bando šiuos duomenis suderinti su kitų paslaugų ir platformų paskyromis. Žinoma, šis atakos vektorius veikia tik tuo atveju, jei vartotojas keliose skirtingose platformose naudojo tą patį slaptažodį arba vartotojo vardą ir slaptažodžio derinį. Deja, tai vis dar labai paplitusi praktika, todėl didelės apimties įgaliojimų pildymas gali gerai veikti.
Spalio 13 d. „Visible“ pareiškė, kad blogiems veikėjams pavyko pasiekti paskyras naudojant kredencialus, gautus iš „išorinių šaltinių“. Natūralu, kad bendrovė paragino vartotojus, kurių sąskaitos buvo pažeistos ir kurie taip pat naudojo tuos pačius kredencialus kitose paslaugose, ypač finansinėse ir bankininkystės, nedelsiant pakeisti šiuos kredencialus.
Blogi veikėjai, neteisėtai prisijungę prie „Visible“ paskyrų, dažniausiai piktnaudžiaudavo jais, norėdami užsisakyti visiškai naują, brangų „iPhone“ naudodamiesi su aukomis susijusiu mokėjimo metodu. Akivaizdu, kad visi, pabudę, pamatę, kad surinko didžiulę sąskaitą ir net nesiruošė gauti „iPhone“, patyrė didžiulį šoką.
Šis incidentas pabrėžia, kaip svarbu naudoti skirtingus, įvairius prisijungimo duomenis kiekvienoje jūsų turimoje paskyroje - taip pat mes jau seniai bandome parvežti namo. Pažeistos paskyros taip pat pabrėžia didelę vertę, kurią tam tikra daugialypė autentifikavimo forma gali pridėti prie bet kurios platformos. Kažkas palyginti paprastas ir paprastas, kaip MFA, nebuvo siūlomas per „Visible“ platformą, o kai kuriems klientams dabar kyla klausimas, kodėl taip buvo.
