0
0
Foi uma semana de notícias sobre violação de dados, com a General Motors, escolas públicas de Chicago e a startup de planejadores de casamentos Zola, todas se recuperando da exposição de informações pessoais dos clientes. No caso deste último, os clientes também foram resmuídos por fundos armazenados e sofreram cobranças fraudulentas de cartão de pagamento.
O recheio de credencial foi o culpado em dois dos incidentes. No recheio de credenciais, os invasores usam scripts automatizados para experimentar grandes volumes de combinações de nomes de usuário e senha roubadas contra contas online, em um esforço para assumi-las. As credenciais roubadas geralmente são tiradas de violações de dados de outros sites — os cibercriminosos apostam na reutilização de senhas e o uso de senhas comuns ou fáceis de adivinhar, como “123456”.
Uma vez dentro, os cibercriminosos podem usar as contas comprometidas para vários propósitos: como um ponto pivô para penetrar mais fundo na máquina e rede da vítima; para drenar contas de informações confidenciais (ou valor monetário); e, se for uma conta de e-mail, para se passar pela vítima em ataques a outros.
E esses ataques são caros: o relatório Custo de Credencial do Instituto Ponemon descobriu que as empresas perdem uma média de US$ 6 milhões por ano para o enchamento de credenciais na forma de tempo de inatividade de aplicativos, clientes perdidos e aumento dos custos de TI.
Eles também são extremamente comuns. De acordo com dados recentes da PerimeterX, as tentativas de login maliciosas do total de logins atingiram tendência de alta durante 2021, atingindo impressionantes 93,8% de todas as tentativas de login em agosto, o que representa um aumento de 8% em relação ao pico de 2020.
O Relatório de Investigações de Violação de Dados (DBIR) da Verizon de 2022, divulgado esta semana, observou que o uso de credenciais roubadas para iniciar violações de dados é o principal vetor de ataque, representando cerca de 42% de todas as violações analisadas pela transportadora.
General Motors entra em apuros
A GM alertou os clientes de que um ataque bem-sucedido de enmento de credenciais no mês passado a seus clientes resultou em uma série de compromissos de conta. O incidente expôs informações pessoais para os clientes e permitiu que hackers resgatassem fraudulentamente pontos de recompensa por cartões de presente.
Os dados dos clientes envolvidos se prestam a uma verdadeira cornucópia de ataques de seguimento, incluindo esforços convincentes de engenharia social, ataques de falsificação e, alarmantemente, potenciais ameaças físicas no extremo extremo do espectro. As informações incluíam nome e sobrenome, endereço de e-mail pessoal, endereço pessoal, nome de usuário e número de telefone para membros da família cadastrados vinculados a uma conta, informações de localização favoritas, seu pacote OnStar atualmente subscrito (se aplicável), avatares e fotos dos membros da família (se carregados), foto do perfil, informações de pesquisa e destino e atividade do cartão de recompensa.
“Alguns podem sugerir que violações que não envolvem números de cartões de pagamento ou SSNs não são tão graves, mas outras informações (nomes de membros da família, números de telefone e endereços) são tão prejudiciais quanto serão usadas em futuros ataques de engenharia social e colocarão essas pessoas em perigo para sempre”, observou John Gunn, CEO da Token, por e-mail. “Como é fácil mudar nomes de membros da família, números de telefone e endereços? Este tipo de ataque é eminentemente evitável simplesmente com melhor autenticação multifatorial.”
A GM está restabelecendo quaisquer pontos de fidelidade perdidos e forçou uma redefinição de senha para os clientes.
Escolas públicas de Chicago enfrentam exposição estudantil
Também nesta semana, surgiram notícias de uma ampla violação de dados que envolveu as informações pessoais de quase 500.000 estudantes nas Escolas Públicas de Chicago (CPS), e mais de 56.000 funcionários.
A informação foi roubada como parte de um ataque de ransomware a um dos fornecedores de tecnologia de terceiros do distrito, Battelle for Kids, que mantém um servidor usado para armazenar informações de estudantes e funcionários do CPS. Os dados foram para os anos letivos 2015-2019.
O CPS emitiu uma notificação de violação de dados sinalizando as informações expostas, que incluíam nome, data de nascimento, sexo, nível de série, escolaridade e número de ID estudantil distrital e estadual, bem como informações sobre os cursos que os alunos fizeram.
Os registros de funcionários expostos incluíam nome, número de identificação de funcionários da escola, endereço de e-mail do CPS e pontuações em tarefas usadas para avaliar professores durante o período de tempo, disse o distrito.
Talvez mais notavelmente, a violação ocorreu meses atrás, em 1º de dezembro, mas Battelle for Kids não notificou o CPS até 26 de abril. Demorou tanto tempo para o fornecedor verificar a autenticidade da violação e encomendar uma análise forense independente, e para as autoridades policiais investigarem, observou o CPS.
Os dados eram antigos e não há evidências de que a gangue de ransomware tenha feito um movimento para explorar os dados, mas estudantes e funcionários ainda devem estar atentos aos esforços de phishing, alertou o distrito. Está oferecendo a todos os envolvidos um ano de monitoramento de crédito gratuito em resposta ao incidente.
“Os ataques de ransomware tornaram-se uma ameaça crescente aos centros de educação nos Estados Unidos”, diz Erfan Shadabi, especialista em segurança cibernética com especialistas em segurança de dados Comforte AG. “As escolas estão se tornando mais dependentes de uma infraestrutura de computação para apoiar suas funções diárias, e também possuem uma grande quantidade de informações confidenciais. Distritos escolares e universidades precisam entender que são alvos de alto perfil, e precisam assumir que um ataque cibernético é iminente.”
Contas de clientes Zola sequestradas
O site de planejamento de casamentos Zola descobriu que 3.000 contas de clientes foram comprometidas em um aparente ataque de força bruta ou encha de credenciais em seus clientes.
O site permite que os casais criem sites de destino de casamento, construam registros de presentes e acessem uma variedade de ferramentas financeiras. No fim de semana, os clientes começaram a relatar no Reddit que suas contas haviam sido sequestradas, com os invasores fugindo com fundos roubados ou acumulando taxas fraudulentas de cartão de crédito. Zola não revelou o quão altas as perdas aumentaram.
O TechCrunch, que primeiro relatou a violação, disse que viu postagens em um canal do Dark Web Telegram de hackers, que trocaram dicas, postaram capturas de tela de contas falsas e discutiram encomendar cartões de presente usando o cartão de crédito em arquivo com Zola.
“Os ataques de enmento credencial continuam a alimentar o ciclo de vida de ataque na Web, potencialmente usando essas credenciais de usuário roubadas em outros sites de comércio eletrônico”, disse Uriel Maimon, vice-presidente de produtos emergentes da PerimeterX, por e-mail. “Podemos esperar que essas credenciais sejam testadas em breve em outros aplicativos que usamos diariamente para alimentar nossas vidas. A responsabilidade recai sobre os provedores de aplicativos e proprietários de sites para dificultar e caro para os cibercriminosos usar as informações a fim de interromper o ciclo de ataques. Isso significa parar o roubo, validação e uso fraudulento de informações de conta e identidade em todos os lugares ao longo da jornada digital de um consumidor.”
Ele acrescentou que uma maneira de fazer isso é rastreando sinais comportamentais e forenses dos usuários que fazem login, a fim de diferenciar entre usuários reais e atacantes.
FONTE: DARK READING