汇丰银行客户急需在安全漏洞的威胁下更改密码
上周五,汇丰银行美国分行向加州州检察长提交了一份数据泄露通知书 。这家跨国银行显然了解到,在10月4日至10月14日期间,未经授权的当事人设法侵入了一些美国客户的网上银行账户。金融机构的安全团队立即禁止访问受影响的帐户,通知所有者,并要求他们更改密码。他们后来告诉记者,他们还强化了登录机制,并增加了另一层安全性。
许多问题仍然没有答案。例如,我们不知道新的安全层是由什么组成的,我们很乐意找出它在攻击之前不存在的原因。了解为什么汇丰银行在黑客第一次开始进入账户后不到一个月就发现了这一漏洞,这也很有趣。由于没有任何关于这些方面的官方信息,我们所能做的只是看看整个事情有多糟糕。
乌云密布
我们不是在谈论一个让攻击者访问本应该受到保护的信息的错误。他们使用正确的凭据打破了,这意味着他们看到了帐户所有者可以看到的所有内容这包括姓名,邮寄地址,电话号码,帐户余额,付款细节,交易清单等。受影响的个人应该谨慎行事,因为他们的个人数据已经曝光了很多。
金融机构的数据泄露从来都不是一件好事。然而,当这种类型的事件变成一个反复出现的主题时,问题就很严重了。不幸的是,这不是汇丰银行首次丢失或暴露其客户数据。 2007年,一名内部人士窃取了大约1.5万人的账户信息 ,并且在接下来的三年里,该银行仍然完全没有注意到这一事件。 2014年底,汇丰财务的十家子公司公开了个人信息 ,其中包括未知数量客户的姓名和社会安全号码。去年,在又一次安全失误中,汇丰银行百慕大分行意外地将一些客户的个人数据通过电子邮件发送给不应该看到它的个人。银行再次拒绝透露有多少人受到影响。
多年来,汇丰银行的客户并不容易,他们可能对最新的数据泄露事件并不感到好笑。
银色衬里
尽管如此,在这种特殊情况下,我们不能把所有责任归咎于汇丰银行。虽然银行本身尚未提出正式公告,但有证据表明其系统并未受到损害. 显然,骗子发起了证件填充攻击。
对于那些不知道的人来说, 凭证填充意味着在数据泄露一个网站期间泄露用户名和密码组合列表,并在其他在线服务上尝试使用。由于密码重用是常态而非例外,因此典型凭证填充攻击的成功率相当高。
最终,用户对他们选择的密码负责,因此在这方面,您甚至可以说汇丰没有做任何导致此特定数据泄露的行为。尽管如此,该银行还承诺,受影响的个人将免费获得一年的信用监控和身份盗窃保护服务。
另一个好消息是违规的范围并不大。大约1%的汇丰美国'140万客户受到影响,到目前为止,该银行还没有看到任何与违规相关的欺诈活动的证据。简而言之,它可能会更糟糕。即便如此,也不应低估这种事件的重要性,必须吸取教训。
由于所有错误的原因,汇丰银行再次成为头条新闻。在违规之后,管理团队表示登录系统已得到加强,但缺乏任何甚至模糊的技术细节使整个事情听起来不那么令人信服。
但是,用户应该是最关注的人。虽然可以采取某些预防措施,但是在没有增加用户体验摩擦的情况下,供应商可以做很多事情来抵御凭证填充攻击。另一方面,用户处于不同的位置。如果他们停止重复使用密码,凭证填充攻击将变得效率低下,并且骗子将丢弃它们。
拥有所有帐户的唯一密码也是一项挑战,但使用我们自己的Cyclonis密码管理器等工具,您可以轻松克服它。要了解有关它的更多信息,请单击此处 。