Kundenes personlige opplysninger kan ha blitt utsatt for et Amtrak-datalag

Forrige uke sendte The National Railroad Passenger Corporation eller Amtrak, som det er bedre kjent, et varsel om dataovertredelse til Office of the Vermont Attorney General, og det begynte også å sende det til noen av kundene. Den sier at i april klarte en ukjent nettkriminell (eller nettkriminelle) tilgang til noen Amtrak-kontoer.

Det vi vet

Angrepet ble først oppdaget om kvelden 16. april, da Amtraks IT-team la merke til at "en tredjepart" hadde fått uautorisert tilgang til kontoer som eies av reisende som deltok i Amtrak sitt Guest Rewards-program. Når de var inne, kunne kriminelle se kontoeiernes personlige informasjon. Varslingen peker på at den potensielt kompromitterte informasjonen ikke inkluderer økonomiske data eller personnummer.

I løpet av få timer sparket Amtrak inntrengerne og startet en etterforskning, som avslørte at angriperne brukte kompromitterte innloggingsinformasjon for å bryte inn. En passordtilbakestilling ble tvunget til hver eneste av de berørte kontoer, og utenfor cybersikkerhetseksperter ble kalt inn til bekrefte at bruddet er lukket. Selv om arten av de potensielt kompromitterte dataene ikke ser ut til å være spesielt følsom, kan berørte kunder registrere seg for ett års medlemskap i Experians identitet-verk mot bedrageribeskyttelse, helt gratis. Varsel om brudd er ledsaget av instruksjoner om hva brukere trenger å gjøre for å dra nytte av bedrageribeskyttelsestjenesten samt tips om hvordan de kan beskytte seg mot identitetstyveri.

På grunn av det ser det ut til at Amtrak tar hendelsen på alvor, og selv om den kom mer enn en måned etter at jernbanetjenesten fikk vite om angrepet, synes avsløringen å være gjennomsiktig. Når du ser nærmere, vil du imidlertid se at noen deler av puslespillet fremdeles mangler.

Hva vi ikke vet

Den nøyaktige arten av den potensielt kompromitterte informasjonen forblir ukjent. Vi vet at det ikke var noen kredittkortnummer, men brukerne har fremdeles ikke en liste over detaljer som kan ha blitt åpnet.

Antall berørte kunder er også et mysterium. Etterforskningen ser ut til å være vel og virkelig over, noe som betyr at Amtrak enten ikke er klar over hvem som ble kompromittert nøyaktig eller ikke vil dele denne informasjonen offentlig. Uansett, å ikke vite hvor mange som ble rammet, betyr at det er vanskelig å bestemme omfanget av angrepet.

Den mest avgjørende biten av informasjonen som mangler fra Amtraks avsløring, er imidlertid kilden til kompromitterte innloggingsinformasjon. Det er to alternativer: angriperne stjal dem enten fra jernbanetjenesten, eller de tok dem fra en database lekket under et ikke-relatert brudd og brukte dem til å kompromittere kontoer om personer som gjenbruker passordene sine.

Hvis dataene ble stjålet fra Amtrak, ville det bety at selskapet i det minste frem til midten av april ikke lagret brukernes passord riktig. På den annen side, hvis det viser seg at angriperne brukte legitimasjonsstopping, ville dette bety at Amtraks brukere er de som ikke følger den beste passordsikkerhetspraksisen.

I det første scenariet er det virkelig ikke mye du kan gjøre. Uansett om du er Amtrak-kunde eller ikke, kan du imidlertid (og må) sørge for at du ikke bruker det samme passordet på mer enn en konto. Dette er den enkleste måten å være trygg på i tilfelle et legitimt utstoppingsangrep.