Απενεργοποιεί mobile app μετά από credential stuffing επιθέσεις #TechWarGR
Μία από τις μεγαλύτερες
εταιρείες ενέργειας
του Ηνωμένου Βασιλείου, η
Npower
, αναγκάστηκε να
απενεργοποιήσει το
mobile
app της,
όταν έμαθε για μια
συντονισμένη
credential stuffing
εκστρατεία με στόχο τους χρήστες της.
Η Npower έχει ενημερώσει όλους τους πελάτες που έχουν επηρεαστεί από τις
credential stuffing
επιθέσεις
, αν και προς το παρόν δεν είναι ξεκάθαρο πόσοι
λογαριασμοί
χρηστών έχουν επηρεαστεί.
Οι επιτιθέμενοι μπορεί να απέκτησαν
πρόσβαση σε προσωπικά στοιχεία
όπως: ημερομηνίες γέννησης, στοιχεία επικοινωνίας και
διευθύνσεις
, μερικές οικονομικές πληροφορίες (τέσσερα τελευταία ψηφία των αριθμών τραπεζικών λογαριασμών) κ.ά.
Λέγεται ότι οι πελάτες της εταιρείας ενέργειας, ενημερώθηκαν για το συμβάν στις αρχές Φεβρουαρίου.
“
Κλειδώσαμε αμέσως τους διαδικτυακούς λογαριασμούς που επηρεάστηκαν, μπλοκάραμε ύποπτες
διευθύνσεις
IP και απενεργοποιήσαμε την
εφαρμογή
Npower
“, ανέφερε σε μια δήλωση η εταιρεία.
Η εταιρεία ενέργειας ενημέρωσε, επίσης, το
Γραφείο του Επιτρόπου Πληροφοριών
και την
Action Fraud
.
“
Η ασφάλεια και η
προστασία
των δεδομένων των πελατών μας είναι η πρώτη μας προτεραιότητα
“, είπε η Npower.
Η Npower είχε σκοπό να αφαιρέσει το
mobile
app, αλλά οι
credential stuffing
επιθέσεις
επιτάχυναν τη διαδικασία.
Οι
credential stuffing
επιθέσεις
είναι επιτυχημένες εξαιτίας ενός συχνού λάθους που κάνουν πολλοί χρήστες. Το λάθος αυτό είναι
η χρήση των ίδιων κωδικών πρόσβασης
σε πολλές
εφαρμογές
και sites
. Αν παραβιαστεί ένας λογαριασμός, μπορούν να παραβιαστούν και οι υπόλοιποι, αφού οι επιτιθέμενοι
χρησιμοποιούν τα κλεμμένα
credentials
σε ένα λογισμικό, που τα δοκιμάζει σε πολλά διαφορετικά sites.
Ο James McQuiggan της
KnowBe4
εξήγησε ότι οι χρήστες μπορούν να δοκιμάσουν δωρεάν monitoring υπηρεσίες, όπως το
HaveIBeenPwned
, για να ελέγξουν εάν τα
credentials
και τα δεδομένα τους έχουν παραβιαστεί.
“
Η παρακολούθηση των κωδικών πρόσβασης
είναι το πρώτο βήμα για την
προστασία
των λογαριασμών σας. Το δεύτερο βήμα είναι να
αλλάζετε τον κωδικό πρόσβασης αν έχει παραβιαστεί
. Το τρίτο βήμα είναι να έχετε
μοναδικούς και ισχυρούς κωδικούς πρόσβασης
για κάθε λογαριασμό που δημιουργείτε, για να μειώσετε την πιθανότητα επιτυχημένης
credential stuffing
επίθεσης. Τέλος, χρησιμοποιώντας τον
έλεγχο ταυτότητας πολλαπλών παραγόντων
(MFA), μπορείτε να προσθέσετε ένα επιπλέον επίπεδο προστασίας σε έναν λογαριασμό
“, είπε.
Πηγή: Infosecurity Magazine
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.