De persoonlijke informatie van klanten is mogelijk blootgesteld aan een Amtrak-datalek

Vorige week dienden The National Railroad Passenger Corporation of Amtrak, zoals het beter bekend is, een melding van een datalek in bij het kantoor van de procureur-generaal van Vermont, en het begon het ook naar enkele van zijn klanten te sturen. Er staat dat in april een onbekende cybercrimineel (of cybercriminelen) erin slaagde toegang te krijgen tot sommige Amtrak-accounts.

Wat we weten

De aanval werd voor het eerst ontdekt op de avond van 16 april, toen het IT-team van Amtrak merkte dat "een derde partij" ongeautoriseerde toegang had verkregen tot accounts die eigendom waren van reizigers die deelnamen aan het Guest Rewards-programma van Amtrak. Toen ze eenmaal binnen waren, konden de criminelen de persoonlijke gegevens van de accounteigenaars bekijken. De melding wijst erop dat de potentieel besmette informatie geen financiële gegevens of sofinummers bevat.

Binnen een paar uur schopte Amtrak de indringers en startte een onderzoek, waaruit bleek dat de aanvallers gecompromitteerde inloggegevens gebruikten om in te breken. Een wachtwoordherstel werd gedwongen voor elk van de getroffen accounts, en externe cybersecurity-experts werden ingeschakeld bevestigen dat de inbreuk is gesloten. Hoewel de aard van de potentieel aangetaste gegevens niet bijzonder gevoelig lijkt te zijn, kunnen getroffen klanten zich volledig gratis inschrijven voor een jaar lidmaatschap van Experian's IdentityWorks-fraudebeschermingsservice. De inbreukmelding gaat vergezeld van instructies over wat gebruikers moeten doen om te profiteren van de fraudebeschermingsdienst, evenals tips over hoe ze zichzelf kunnen beschermen tegen identiteitsdiefstal.

Op het eerste gezicht lijkt Amtrak het incident serieus te nemen, en hoewel het meer dan een maand kwam nadat de spoorwegdienst van de aanval hoorde, lijkt de onthulling transparant genoeg. Als je echter beter kijkt, zie je dat sommige stukjes van de puzzel nog steeds ontbreken.

Wat we niet weten

De exacte aard van de potentieel aangetaste informatie blijft bijvoorbeeld onbekend. We weten dat er geen creditcardnummers bij betrokken waren, maar gebruikers hebben nog steeds geen lijst met details die mogelijk zijn gebruikt.

Het aantal getroffen klanten is ook een mysterie. Het onderzoek lijkt goed te zijn afgerond, wat betekent dat Amtrak niet weet wie er precies is gecompromitteerd of niet bereid is deze informatie openbaar te delen. Hoe dan ook, niet wetende hoeveel mensen geraakt zijn, betekent dat het moeilijk is om de omvang van de aanval te bepalen.

Het meest cruciale stukje informatie dat ontbreekt in de openbaarmaking van Amtrak, is echter de bron van de aangetaste inloggegevens. Er zijn twee opties: de aanvallers hebben ze ofwel van de spoorwegdienst zelf gestolen, of ze hebben ze uit een database gehaald die is gelekt tijdens een niet-gerelateerde inbreuk en hebben ze gebruikt om accounts te hacken van mensen die hun wachtwoord hergebruiken.

Als de gegevens van Amtrak werden gestolen, zou dit betekenen dat het bedrijf in ieder geval tot half april de wachtwoorden van gebruikers niet correct opsloeg. Aan de andere kant, als blijkt dat de aanvallers inloggegevens hebben gebruikt, zou dit betekenen dat de gebruikers van Amtrak degenen zijn die niet de beste praktijken voor wachtwoordbeveiliging volgen.

In het eerste scenario kun je echt niet veel doen. Ongeacht of u al dan niet Amtrak-klant bent, u kunt (en moet) ervoor zorgen dat u niet hetzelfde wachtwoord voor meer dan één account hergebruikt. Dit is de gemakkelijkste manier om veilig te blijven in het geval van een aanvalsaanval.