Chick-fil-A用户密码安全遭到破坏：警示与风险

关键要点

• 71,000名Chick-fil-A顾客的在线客户忠诚账户因自动凭证填充攻击而受到影响。
• 被盗数据包括姓名、电子邮件地址、模糊化的信用卡和借记卡号码、Chick-fil-A One会员信息以及食物积分。
• 密码管理不善是造成数据泄露的主要原因之一，包含密码重用和弱密码等问题。
• 当前网络安全技术面临挑战，许多用户仍未采用最佳安全实践。

最近，71,000名Chick-fil-A顾客 收到了通知，称他们的在线客户忠诚账户通过自动凭证填充攻击
遭到了侵犯。这一事件再次凸显了防范密码安全风险的迫切性。

从Chick-fil-A顾客处窃取的数据包括姓名、电子邮件地址、模糊化的信用卡和借记卡信息、Chick-fil-AOne会员信息，以及食物积分。根据与多个州律师协会共享的泄露信息，针对Chick-fil-A顾客的凭证填充攻击已经持续了两个月。

Chick-fil-
A表示：“经过仔细调查，我们确定未授权方于2022年12月18日至2023年2月12日期间，对我们的网站和移动应用程序发起了一次自动攻击，使用从第三方获取的账户凭证（例如邮件地址和密码）。”

凭证填充攻击解释

凭证填充（Credentialstuffing）是指攻击者使用典型在非法在线论坛获取的用户名和密码，尝试在随机在线账户上进行自动化登录。犯罪分子的希望是，用户因为懒惰而在多个在线服务中重用密码。

根据Verizon的2023年数据泄露调查报告
(PDF)，密码管理不善是导致企业遭受泄露的主要原因之一。密码管理不善包括密码重用、弱密码、默认凭证，以及钓鱼或前提攻击等手段诱使用户透露用户名和密码。

类型 | 描述
—|—
密码重用 | 使用相同密码多个服务
弱密码 | 密码过于简单或易被猜测
默认凭证 | 未修改的出厂设置密码
钓鱼攻击 | 通过伪装获取用户凭证

Verizon报告指出，针对网络应用的成功攻击中，80%的泄露与被盗凭证有关
。而自2017年以来，被盗凭证的案件几乎增加了30%，成为过去四年获取组织访问权限的常用手段。

根据缅因州的信息，共有71,473个账户受到Chick-fil-
A凭证填充攻击的影响。发送给受影响客户的信件于2023年3月2日，通报了事件并概述了应对措施。

Chick-fil-
A表示：“一旦发现事件，我们立即采取措施保护顾客账户，包括要求顾客重置密码，删除任何存储的信用/借记卡支付方式，以及暂时冻结先前加载到客户Chick-
fil-A One账户上的资金。”

当前密码安全现状

尽管公众意识已经提高，并且有多种密码强化技术，但密码、账户访问和数字身份的安全问题依旧紧迫。近期，Twitter
因决定取消对未付费账户的双因素认证工具而遭到安全专家的批评。即便是使用最佳实践工具，如密码保险箱，用户仍可能面临泄露风险。例如，LastPass就遭遇了一起与其系统安全漏洞相关的重大密码泄露事件，影响了借助其服务存储的客户账户信息。

与此同时，旨在增强密码安全的技术仍未能广泛普及。根据PYMNTS的最新报告
，尽管密码仍然是最广泛使用的身份验证形式，31%的消费者认为生物识别技术更安全 。

在所有使用密码的消费者中，只有四分之一的人偏好使用密码，而不是其他竞争技术，例如生物识别。

继续保持对密码安全的关注，明智地管理账户凭证，才能更好地应对当前网络安全环境下的挑战。