Хакеры пытались взломать более 1 млн аккаунтов 17 известных ресурсов

Более 1 миллиона аккаунтов известных 17 компаний стали жертвами хакеров. Киберпреступники использовали ранее украденные пароли, чтобы получить доступы к другим ресурсам. Об этом сообщает издание Bloomberg со ссылкой на генеральную прокуратуру Нью-Йорка.

Злоумышленники использовали прием credential stuffing attack – атаку с заполнением учетных данных. Такая атака становится возможной, когда кибернарушители пытаются получить доступ к учетной записи, используя имена пользователей и пароли, которые ранее были дискредитированы.

«Практически каждый веб-сайт и приложение используют пароли в качестве средства аутентификации своих пользователей. К сожалению, пользователи склонны повторно использовать одни и те же пароли в нескольких онлайн-сервисах. Это позволяет киберпреступникам использовать пароли, украденные у одной компании, для других онлайн-аккаунтов», − сообщили в прокуратуре.

В ведомстве также отметили, что в настоящее время в Интернете циркулируют более 15 миллиардов украденных учетных данных, поскольку личная информация пользователей находится под угрозой. После обнаружения попыток взлома прокуратура предупредила соответствующие компании, чтобы можно было сбросить пароли, уведомить об атаках потребителей.

«Компании несут ответственность за принятие надлежащих мер для защиты онлайн-аккаунтов своих клиентов. Необходимо сделать все возможное, чтобы защитить личную информацию потребителей и их конфиденциальность», − сообщили в прокуратуре Нью-Йорка, опубликовав на ведомственном сайте руководство по критически важным мерами безопасности, которые компании могут использовать в борьбе с атакой учетных данных.

Credential stuffing attack — это тип кибератаки, который включает попытки входа в онлайн-аккаунты с использованием имени пользователя и пароля, украденных из других, не связанных онлайн-сервисов. Он основан на широко распространенной практике повторного использования паролей, поскольку, скорее всего, пароль, используемый на одном веб-сайте, также использовался на другом. В типичной атаке с заполнением учетных данных злоумышленник может осуществить сотни тысяч или даже миллионы попыток входа в систему, используя автоматизированное программное обеспечение для заполнения учетных данных и списки украденных учетных данных.

Атаки с заполнением учетных данных стали настолько распространенными, что для большинства предприятий они неизбежны. Поэтому каждый бизнес, который ведет учетные записи клиентов в Интернете, должен иметь программу защиты данных, включающую эффективные средства защиты клиентов от атак с подменой учетных данных, полагают в американской прокуратуре.

Ведомство приводит следующие меры безопасности, которые оказались эффективными. Так, было обнаружено, что от подобных атак эффективны службы обнаружения ботов, многофакторная проверка подлинности и проверка подлинности без пароля.

Поскольку никакая защита не является эффективной на сто процентов, очень важно, чтобы у компаний был эффективный способ обнаружения атак, которые обходят другие средства защиты и скомпрометировали учетные записи клиентов. Большинство атак с заполнением учетных данных можно идентифицировать, отслеживая трафик клиентов на наличие признаков атак (например, всплески объема трафика при неудачных попытках входа в систему).

Одной из наиболее эффективных мер защиты от использования злоумышленниками сохраненной платежной информации клиентов является повторная аутентификация во время покупки, например, требующая от клиентов повторного ввода номера кредитной карты или кода безопасности. Крайне важно, чтобы повторная аутентификация требовалась для каждого способа оплаты, который принимает компания.