Çok sayıda General Motors (GM) kullanıcı hesabı ihlal edildi ve kişisel olarak tanımlanabilir bilgileri (yeni sekmede açılır) çalıntı, şirket etkilenen müşterilere gönderilen son bir duyuruda doğruladı. Dahası, saldırının arkasındaki siber suçlular, bu hesaplarda bulunan ödül puanlarını hediye kartları için kullanmaya çalıştı.
GM kullanıcılarının hesapları, 11 Nisan ile 29 Nisan arasında gerçekleşen bir kimlik bilgisi doldurma saldırısıyla ele geçirildi. Bu, saldırganların, biri çalışana kadar çok sayıda kullanıcı adı ve şifre kombinasyonu denediği kaba kuvvet tipi bir saldırıdır. Bazen saldırganlar, bazı kişilerin aynı kimlik bilgilerini çok sayıda hizmette yeniden kullandığını bilerek, ihlal edilen diğer hizmetlerden çalınan kullanıcı adı/şifre kombinasyonlarını da deneyebilir.
Etkilenen müşterilerin tam sayısı bilinmiyor, ancak sadece California eyaletinde yaklaşık 5.000 kurban olduğu düşünülüyor.
Hiçbir kredi kartı verisi çalınmadı
GM ayrıca bunun, altyapısının kurcalanmadığı veya tehlikeye atılmadığı anlamına geldiğini söylüyor.
GM bir duyuruda, “Bugüne kadar yapılan soruşturmaya dayanarak, oturum açma bilgilerinin GM’nin kendisinden alındığına dair bir kanıt yok” dedi.
“Yetkisiz tarafların, daha önce diğer GM dışı sitelerde güvenliği ihlal edilmiş olan müşteri oturum açma bilgilerine erişim elde ettiğine ve ardından bu bilgileri müşterinin GM hesabında yeniden kullandığına inanıyoruz.”
İhlal edilen hesaplarda siber suçlular, tam adlar, e-posta adresleri, fiziksel adresler, aile üyelerinin telefon numaraları, en son bilinen ve favori konumların yanı sıra arama ve hedef bilgileri gibi şeylere erişti. Araba kilometre geçmişi, servis geçmişi ve acil durum sözleşmeleri de sergilendi.
Şirket, GM bu verileri saklamadığı için Sosyal Güvenlik numaraları, ehliyet numaraları, kredi kartı bilgileri veya banka hesap bilgileri gibi şeylerin tehlikeye atılmadığını doğruladı.
Saldırıdan bu yana GM, kullanıcılarından şifrelerini sıfırlamalarını istedi. (yeni sekmede açılır)ve etkilenen müşterilere bankalarından kredi raporları talep etmelerini söyledi.
Bir kimlik bilgisi doldurma saldırısının ardından müşterilerinin hesapları ele geçirilen Zola’da olduğu gibi, General Motors iki faktörlü kimlik doğrulamayı desteklemiyor. (yeni sekmede açılır), BleeBilgisayar devletler. Kullanıcılar, her satın alma için girilmesi gereken bir PIN ekleyebilir.
Beyond Identity’nin CMO’su Patrick McBride, “İşletmelerin parolaların güvenlik açığı olduğunu anlaması gerekiyor” dedi. Parolaları başka bir yerden alındığı için suçu müşterilerin üzerine atmak artık yeterli değil. İşletmeler, kimlik avı yapılamaz MFA kullanarak bugün parola güvenlik açığını azaltabilir. Halihazırda var oldukları halde yeterli kimlik doğrulama yöntemlerini kullanmayan işletmelerin başarısızlıkları için kullanıcıları suçlamak zamanının çok ötesinde.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
