NEW YORK – Generální prokurátorka státu New York Letitia Jamesová dnes oznámila výsledky rozsáhlého vyšetřování „vycpávání pověření“, které odhalilo více než 1,1 milionu online účtů napadených kybernetickými útoky na 17 známých společností. Generální prokurátor James vydal „Business Guide for Credential Stuffing Attacks“, který podrobně popisuje útoky – které zahrnují opakované, automatizované pokusy o přístup k online účtům pomocí uživatelských jmen a hesel ukradených z jiných online služeb – a jak se mohou firmy chránit. Plnění pověření se rychle stalo jedním z hlavních online útoků. Prakticky každý web a aplikace používá hesla jako prostředek k ověření svých uživatelů. Bohužel uživatelé mají tendenci opakovaně používat stejná hesla v různých online službách. To umožňuje kyberzločincům používat hesla ukradená jedné společnosti pro jiné online účty. Po odhalení útoků Úřad nejvyššího státního zástupce (OAG) upozornil příslušné společnosti, aby mohla být resetována hesla a spotřebitelé mohli být informováni. Dnešní průvodce sdílí ponaučení získaná v průběhu vyšetřování OAG, včetně konkrétních pokynů ohledně kroků, které mohou podniky podniknout, aby se lépe chránily před útoky na vycpávání pověření.
„Právě teď se po internetu šíří více než 15 miliard ukradených přihlašovacích údajů, protože osobní údaje uživatelů jsou v ohrožení,“ řekl generální prokurátor James. „Podniky jsou odpovědné za přijetí vhodných opatření k ochraně online účtů svých zákazníků a tato příručka uvádí kritická ochranná opatření, která mohou společnosti použít v boji proti hromadění pověření. Musíme udělat vše, co je v našich silách, abychom ochránili osobní údaje spotřebitelů a jejich soukromí.“
Co je vyplňování pověření?
Naplňování přihlašovacích údajů je typ kybernetického útoku, který zahrnuje pokusy o přihlášení k online účtům pomocí uživatelského jména a hesla ukradeného z jiných, nesouvisejících online služeb. Spoléhá se na rozšířenou praxi opakovaného používání hesel, protože je pravděpodobné, že heslo použité na jednom webu bylo použito také na jiném.
Při typickém útoku nacpáním přihlašovacích údajů může útočník odeslat stovky tisíc nebo dokonce miliony pokusů o přihlášení pomocí automatizovaného softwaru na plnění přihlašovacích údajů a seznamů ukradených přihlašovacích údajů stažených z temného webu nebo hackerských fór. Ačkoli jen malé procento těchto pokusů uspěje, díky obrovskému množství pokusů o přihlášení může jeden útok přesto přinést tisíce kompromitovaných účtů.
Útočník, který získá přístup k účtu, jej může využít mnoha způsoby. Útočník může například zobrazit osobní údaje spojené s účtem, včetně jména, adresy a minulých nákupů, a použít tyto informace k phishingovému útoku. Pokud má účet uloženou kreditní kartu nebo dárkovou kartu, může být útočník schopen provádět podvodné nákupy. Nebo by útočník mohl jednoduše prodat přihlašovací údaje jiné osobě na temném webu.
Naplňování pověření je jednou z nejběžnějších forem kybernetického útoku. Provozovatel jedné velké sítě pro doručování obsahu uvedl, že jen v roce 2020 byl svědkem více než 193 miliard takových útoků.
Vyšetřování OAG
Vzhledem k rostoucí hrozbě nacpání pověření zahájila OAG vyšetřování s cílem identifikovat podniky a spotřebitele zasažené tímto vektorem útoku. V průběhu několika měsíců OAG monitorovala několik online komunit věnovaných doplňování pověření. OAG nalezla tisíce příspěvků, které obsahovaly přihlašovací údaje zákazníků, které útočníci otestovali v útoku nacpáním pověření a potvrdili, že je lze použít k přístupu k zákaznickým účtům na webových stránkách nebo v aplikacích. Z těchto příspěvků sestavil OAG pověření k ohroženým účtům u 17 známých online prodejců, restauračních řetězců a doručovacích služeb. Celkem OAG shromáždila přihlašovací údaje pro více než 1,1 milionu zákaznických účtů, z nichž se zdálo, že všechny byly kompromitovány útoky na vycpávání přihlašovacích údajů.
OAG upozornil každou ze 17 společností na napadené účty a vyzval společnosti, aby prošetřily a podnikly okamžité kroky k ochraně dotčených zákazníků. Každá společnost tak učinila. Vyšetřování společností ukázalo, že většina útoků nebyla dříve odhalena.
Společnost OAG také spolupracovala se společnostmi, aby zjistila, jak útočníci obcházeli stávající ochranná opatření, a poskytla doporučení pro posílení jejich programů zabezpečení dat, aby byly v budoucnu lépe zabezpečené zákaznické účty. V průběhu vyšetřování OAG téměř všechny společnosti zavedly nebo plánovaly implementaci dalších ochranných opatření.
Doporučení OAG
Útoky na nacpání pověření se staly tak rozšířenými, že jsou pro většinu podniků nevyhnutelné. Každý podnik, který si spravuje online zákaznické účty, by proto měl mít program zabezpečení dat, který zahrnuje účinné záruky na ochranu zákazníků před útoky na vycpávání pověření. Ochranná opatření by měla být zavedena v každé ze čtyř oblastí:
- Obrana proti útokům credential stuffing,
- Detekce porušení credential stuffing,
- Prevence podvodů a zneužití informací o zákaznících a
- Reagování na incident s vycpáváním pověření.
Příručka generálního prokurátora Jamese představuje konkrétní ochranná opatření, která byla shledána jako účinná v každé z těchto oblastí. Některé zajímavosti z průvodce zahrnují následující:
Touto záležitostí se zabývali vrchní právník pro vymáhání práva Jordan Adler, zástupkyně generálního prokurátora Hanna Baek, internetový a technologický analytik Joe Graham a právní asistent Richard Borgia – všichni z Úřadu pro internet a technologie, pod dohledem zástupce vedoucího kanceláře Clarka Russell a šéf úřadu Kim Berger. Bureau of Internet and Technology je součástí divize pro ekonomickou spravedlnost, na kterou dohlíží hlavní zástupce generálního prokurátora Chris D’Angelo a na kterou dohlíží první náměstkyně Jennifer Levy.
