Użytkownicy Verizon Carrier Visible Victims w Credentials Stuffing Attack
Niektórzy właściciele telefonów komórkowych, którzy korzystali z Verizon Visible – atrakcyjnej cenowo oferty operatora komórkowego i jego operatora komórkowego – obudzili się i odkryli, że właśnie zamówili nowego, drogiego iPhone'a, wysyłając go na adres inny niż ich własny i zostali zablokowani z ich kont, ich adresy e-mail i loginy zostały zamienione.
Jak szybko wyjaśnili Verizon i Visible, atak nie był naruszeniem danych i nie włamano się do systemów i sieci obsługiwanych przez firmę Verizon i jej operatora sieci bezprzewodowej. Incydent był raczej wynikiem średnio udanego ataku polegającego na upychaniu danych uwierzytelniających.
Upychanie poświadczeń odnosi się do procesu, w którym źli aktorzy uzyskują duże bazy danych zawierających hasła lub kombinacje haseł i nazw użytkowników, a następnie próbują dopasować te dane do kont na innych usługach i platformach. Oczywiście ten wektor ataku działa tylko wtedy, gdy użytkownik użył tego samego hasła lub kombinacji nazwy użytkownika i hasła na kilku różnych platformach. Niestety, jest to nadal bardzo powszechna praktyka i dlatego upychanie danych uwierzytelniających o dużej objętości może dobrze działać.
13 października Visible stwierdził, że złoczyńcy zdołali uzyskać dostęp do kont przy użyciu danych uwierzytelniających uzyskanych z "zewnętrznych źródeł". Oczywiście firma wezwała użytkowników, których konta zostały naruszone, a także używali tych samych danych uwierzytelniających w innych usługach, zwłaszcza finansowych i bankowych, do natychmiastowej zmiany tych danych uwierzytelniających.
Źli aktorzy, którzy nielegalnie uzyskali dostęp do kont użytkowników Visible, zwykle nadużywali ich, aby zamówić zupełnie nowego, drogiego iPhone'a, korzystając z metody płatności powiązanej z ofiarą. Oczywiście każdy, kto obudził się i stwierdził, że nałożył ogromny rachunek i nawet nie otrzyma iPhone'a, był w szoku.
Ten incydent podkreśla znaczenie używania różnych, zróżnicowanych danych logowania na każdym koncie, które posiadasz – coś, co również staraliśmy się sprowadzić do domu przez długi czas. Naruszone konta podkreślają również ogromną wartość, jaką niektóre formy uwierzytelniania wieloskładnikowego mogą dodać do dowolnej platformy. Coś stosunkowo prostego i podstawowego, ponieważ usługa MFA nie była oferowana za pośrednictwem platformy Visible, a niektórzy klienci zastanawiają się teraz, dlaczego tak się stało.
