Chick-fil-A用户密码安全遭到破坏:警示与风险
关键要点
- 71,000名Chick-fil-A顾客的在线客户忠诚账户因自动凭证填充攻击而受到影响。
- 被盗数据包括姓名、电子邮件地址、模糊化的信用卡和借记卡号码、Chick-fil-A One会员信息以及食物积分。
- 密码管理不善是造成数据泄露的主要原因之一,包含密码重用和弱密码等问题。
- 当前网络安全技术面临挑战,许多用户仍未采用最佳安全实践。
最近,71,000名Chick-fil-A顾客 收到了通知,称他们的在线客户忠诚账户通过自动凭证填充攻击
遭到了侵犯。这一事件再次凸显了防范密码安全风险的迫切性。
从Chick-fil-A顾客处窃取的数据包括姓名、电子邮件地址、模糊化的信用卡和借记卡信息、Chick-fil-AOne会员信息,以及食物积分。根据与多个州律师协会共享的泄露信息,针对Chick-fil-A顾客的凭证填充攻击已经持续了两个月。
Chick-fil-
A表示:“经过仔细调查,我们确定未授权方于2022年12月18日至2023年2月12日期间,对我们的网站和移动应用程序发起了一次自动攻击,使用从第三方获取的账户凭证(例如邮件地址和密码)。”
凭证填充攻击解释
凭证填充(Credentialstuffing)是指攻击者使用典型在非法在线论坛获取的用户名和密码,尝试在随机在线账户上进行自动化登录。犯罪分子的希望是,用户因为懒惰而在多个在线服务中重用密码。
根据Verizon的2023年数据泄露调查报告
(PDF),密码管理不善是导致企业遭受泄露的主要原因之一。密码管理不善包括密码重用、弱密码、默认凭证,以及钓鱼或前提攻击等手段诱使用户透露用户名和密码。
类型 | 描述
—|—
密码重用 | 使用相同密码多个服务
弱密码 | 密码过于简单或易被猜测
默认凭证 | 未修改的出厂设置密码
钓鱼攻击 | 通过伪装获取用户凭证
Verizon报告指出,针对网络应用的成功攻击中,80%的泄露与被盗凭证有关
。而自2017年以来,被盗凭证的案件几乎增加了30%,成为过去四年获取组织访问权限的常用手段。
根据缅因州的信息,共有71,473个账户受到Chick-fil-
A凭证填充攻击的影响。发送给受影响客户的信件于2023年3月2日,通报了事件并概述了应对措施。
Chick-fil-
A表示:“一旦发现事件,我们立即采取措施保护顾客账户,包括要求顾客重置密码,删除任何存储的信用/借记卡支付方式,以及暂时冻结先前加载到客户Chick-
fil-A One账户上的资金。”
当前密码安全现状
尽管公众意识已经提高,并且有多种密码强化技术,但密码、账户访问和数字身份的安全问题依旧紧迫。近期,Twitter
因决定取消对未付费账户的双因素认证工具而遭到安全专家的批评。即便是使用最佳实践工具,如密码保险箱,用户仍可能面临泄露风险。例如,LastPass就遭遇了一起与其系统安全漏洞相关的重大密码泄露事件,影响了借助其服务存储的客户账户信息。
与此同时,旨在增强密码安全的技术仍未能广泛普及。根据PYMNTS的最新报告
,尽管密码仍然是最广泛使用的身份验证形式,31%的消费者认为生物识别技术更安全 。
在所有使用密码的消费者中,只有四分之一的人偏好使用密码,而不是其他竞争技术,例如生物识别。
继续保持对密码安全的关注,明智地管理账户凭证,才能更好地应对当前网络安全环境下的挑战。