通用汽車(General Motors)4月間發生疑似帳號填充(credential stuffing)攻擊,致使為數不詳的車主的回饋點數、姓名、電子郵件等個資遭存取。

旗下擁有別克(Buick)、雪佛蘭(Chevrolet)、凱迪拉克(Cadillac)等車系的GM上周以信件通知客戶這樁資料外洩事件

GM發現在4月11日到4月29日之間,某些客戶的GM線上帳號有可疑登入情形,他們的客戶禮物卡回饋點數已在未經車主同意下被動用。

但GM解釋,這次事件起因並非GM網站被駭,而是一樁帳號填充攻擊事件。所謂帳號填充攻擊(Credential Stuffing)是指,駭客利用其他遭駭網站中所取得的帳號與密碼,在另一個網站上登入。根據調查,他們相信是攻擊者取得了非GM網站外洩的用戶帳號資料,才導致車主的GM帳號遭到存取。

而在GM帳號的非經授權的存取中,車主可能外洩的資料包括姓名、電子郵件、帳號或家人電話號碼、最愛的地點、家人虛擬身分或相片、車主的資料照、搜尋紀錄、地點資訊、點數卡活動、以及被盜用的回饋點數。GM強調網上帳號不包含生日、社會安全碼、駕照、信用卡及銀行帳號資訊等。

GM發現時已立即暫時停用帳號下的點數卡功能,除了通知執法機關外,GM已通知用戶在下次登入時重設密碼。

這次事件突顯不得在不同網站重覆利用同一組帳密的重要性。不過BleepingComputer報導,GM網站並不支援雙因素驗證,而雙因素驗證應可避免啟用該功能的車主資料外洩。

熱門新聞

Advertisement