Şirket, siber suçluların düğün planlayıcı web sitesi Zola’daki bir dizi kullanıcı hesabına erişerek onları hediye çeki satın almak için ele geçirdiklerini doğruladı.
Haber ilk olarak sosyal medyada Zola kullanıcıları Twitter ve Reddit’e giderek başkalarını yetkisiz hesap erişimi ve birden fazla satın alma girişimi konusunda bilgilendirirken ortaya çıktı.
Diğerleri, karaborsada satış için güvenliği ihlal edilmiş Zola hesapları buldu, ancak şirket haberin ciddiyetini küçümsemekte gecikmedi.
Kimlik bilgileri doldurma ve zayıf parolalar
Zola iletişim direktörü Emily Forrest, “Bunun bazı çiftlerimizin neden olduğu kesintiyi ve stresi anlıyoruz, ancak tüm hileli nakit para transferi girişimlerinin engellendiğini bildirmekten mutluluk duyuyoruz” dedi. “Kredi kartları ve banka bilgileri asla ifşa edilmedi ve korunmaya devam ediyor.”
Zola’nın altyapısı ve uç noktaları (yeni sekmede açılır) suçlular, saldırganların bir tanesi sabitlenene kadar çok sayıda kullanıcı adı/şifre kombinasyonu denediği bir kimlik bilgisi doldurma tekniği kullanıyor. Kimlik bilgisi doldurma genellikle çok sayıda hizmette aynı kullanıcı adı/şifre kombinasyonunu kullanan kurbanlar üzerinde çalışır.
Forrest, şirketin bir dizi hileli hediye kartı siparişi tespit ettiğini ve şu anda sorunu ele aldığını ve hesapların %0,1’inden daha azının etkilendiğini kaydetti.
Ancak Zola, ihlali öğrendikten sonra tüm kullanıcı şifrelerini sıfırladığını doğruladı. Her iki platform için de mobil uygulamalar olay sırasında devre dışı bırakıldı, ancak o zamandan beri yeniden etkinleştirildi.
Zola’da banka hesaplarını buna bağlayabilmesine rağmen, ikincisi iki faktörlü kimlik doğrulama (2FA) için bir uygulama gibi herhangi bir ikincil kimlik doğrulama özelliği sağlamaz. (yeni sekmede açılır)), güvenlik anahtarları ve benzerleri. TechCrunch, bunun kimlik bilgisi doldurma saldırılarını gerçekleştirmeyi kolaylaştırdığını savunuyor.
Güvenlik uzmanları genellikle her hizmet için güçlü, benzersiz bir parola oluşturmanızı önerir. Bu kulağa büyük bir sıkıntı gibi gelse de, iyi bir şifre yöneticisi sayısız benzersiz şifreyi yönetmenin tüm sıkıntısını ortadan kaldırabilir.
Aracılığıyla: Sınır (yeni sekmede açılır)