客户的个人信息可能已在Amtrak数据泄露中暴露

上周，众所周知的美国国家铁路客运公司（Amtrak）向佛蒙特州总检察长办公室提交了数据泄露通知 ，并开始将其发送给一些客户。它说，4月，一个未知的网络罪犯（或一些网络罪犯）设法访问了一些Amtrak帐户。

我们所知道的

该攻击最早于4月16日晚上检测到，当时Amtrak的IT团队注意到“第三方”已获得对参与Amtrak的Guest Rewards计划的旅行者拥有的帐户的未经授权的访问。一旦进入，犯罪分子便可以查看帐户所有者的个人信息。该通知指出，可能受到威胁的信息不包含任何财务数据或社会安全号码。

在几个小时内，Amtrak启动了入侵者，并开始了调查，结果表明攻击者使用了受感染的登录凭据进行入侵。每个受影响的帐户中的每个帐户都必须重设密码，并要求外部网络安全专家进行干预。确认违规行为已被关闭。尽管看起来潜在受损数据的性质似乎并不特别敏感，但受影响的客户可以完全免费注册Experian的IdentityWorks欺诈保护服务的一年会员资格。违规通知随附有关用户需要采取哪些措施以利用欺诈防护服务的说明，以及有关如何保护自己免受身份盗用的提示。

从表面上看，Amtrak似乎正在认真对待这一事件，尽管这是在铁路服务部门得知该事件发生一个多月之后的，但披露似乎足够透明。但是，当您仔细观察时，您会发现仍然缺少一些难题。

我们不知道的

例如，可能受到危害的信息的确切性质仍然未知。我们确实知道没有涉及信用卡号，但是用户仍然没有可能访问过的详细信息列表。

受影响的客户数量也是一个谜。调查似乎已经完全结束，这意味着Amtrak要么不知道是谁受到了确切的攻击，要么不愿公开分享此信息。无论如何，不知道有多少人受到打击意味着很难确定攻击的规模。

但是，Amtrak披露中缺少的最关键的信息是受损的登录凭据的来源。有两种选择：攻击者要么从铁路服务本身中窃取了它们，要么从不相关的违规事件中从泄漏的数据库中获取了它们，并利用它们来危害使用密码的人的帐户。

如果数据是从Amtrak窃取的，则意味着至少直到4月中旬，该公司才没有正确存储用户的密码。另一方面，如果事实证明攻击者使用了凭据填充 ，那么这意味着Amtrak的用户就是没有遵循最佳密码安全性惯例的用户。

在第一种情况下，实际上您无能为力。但是，无论您是否是Amtrak客户，您都可以（并且必须）确保不要将同一密码用于多个帐户。如果发生凭证填充攻击，这是最安全的方法。