客戶的個人信息可能已在Amtrak數據洩露中暴露

上週，眾所周知的美國國家鐵路客運公司（Amtrak）向佛蒙特州總檢察長辦公室提交了數據洩露通知 ，並開始將其發送給一些客戶。它說，4月，一個未知的網絡罪犯（或一些網絡罪犯）設法訪問了一些Amtrak帳戶。

我們所知道的

該攻擊最早於4月16日晚上檢測到，當時Amtrak的IT團隊注意到“第三方”已獲得對參與Amtrak的Guest Rewards計劃的旅行者擁有的帳戶的未經授權的訪問。一旦進入，犯罪分子便可以查看帳戶所有者的個人信息。該通知指出，可能受到威脅的信息不包含任何財務數據或社會安全號碼。

在幾個小時內，Amtrak啟動了入侵者，並開始了調查，結果顯示攻擊者使用了受感染的登錄憑據來進行入侵。每個受影響的帳戶中的每個帳戶都必須重設密碼，並且要求外部網絡安全專家來介入。確認違規行為已被關閉。儘管潛在受損數據的性質似乎並不特別敏感，但受影響的客戶可以完全免費註冊Experian的IdentityWorks欺詐保護服務的一年會員資格。違規通知隨附有關用戶需要採取哪些措施以利用欺詐防護服務的說明，以及有關如何保護自己免受身份盜用的提示。

從表面上看，Amtrak似乎正在認真對待這一事件，儘管它是在鐵路服務部門得知該事件發生一個多月之後的，但披露似乎足夠透明。但是，當您仔細觀察時，您會發現仍然缺少一些難題。

我們不知道的

例如，可能受到危害的信息的確切性質仍然未知。我們確實知道沒有涉及信用卡號，但是用戶仍然沒有可能訪問過的詳細信息列表。

受影響的客戶數量也是一個謎。調查似乎已經完全結束，這意味著Amtrak要么不知道是誰受到了確切的攻擊，要么不願公開分享此信息。無論如何，不知道有多少人受到打擊意味著很難確定攻擊的規模。

但是，Amtrak披露中缺少的最關鍵的信息是受損的登錄憑據的來源。有兩種選擇：攻擊者要么從鐵路服務本身中竊取了它們，要么從不相關的違規事件中從洩漏的數據庫中獲取了它們，並利用它們來危害使用密碼的人的帳戶。

如果數據是從Amtrak竊取的，則意味著至少直到4月中旬，該公司才沒有正確存儲用戶的密碼。另一方面，如果事實證明攻擊者使用了憑據填充 ，那麼這意味著Amtrak的用戶就是沒有遵循最佳密碼安全性做法的用戶。

在第一種情況下，實際上您無能為力。但是，無論您是否是Amtrak客戶，您都可以（並且必須）確保不要將同一密碼用於多個帳戶。如果發生憑證填充攻擊，這是最安全的方法。