近期，通用汽車(chē)表示他們?cè)诮衲?月11日至29日期間檢測(cè)到了惡意登錄活動(dòng)，經(jīng)調(diào)查后發(fā)現(xiàn)黑客在某些情況下將客戶獎(jiǎng)勵(lì)積分兌換為禮品卡，針對(duì)此次事件，通用汽車(chē)也及時(shí)給受影響的客服發(fā)郵件并告知客戶。為了彌補(bǔ)客戶所受損失，通用汽車(chē)表示，他們將為所有受此事件影響的客戶恢復(fù)獎(jiǎng)勵(lì)積分。但根據(jù)調(diào)查，這些違規(guī)行為并不是通用汽車(chē)被黑客入侵的結(jié)果，而是由針對(duì)其平臺(tái)上的客戶的一波撞庫(kù)攻擊引起的。

撞庫(kù)是指黑客通過(guò)收集網(wǎng)上已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，并嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。經(jīng)后續(xù)的調(diào)查，通用汽車(chē)表示目前沒(méi)有證據(jù)表明登錄信息是從通用汽車(chē)本身獲得的，“未經(jīng)授權(quán)的用戶獲得了之前在其他非通用汽車(chē)網(wǎng)站上被泄露的客戶登錄憑證的訪問(wèn)權(quán)限，然后在客戶的通用汽車(chē)賬戶上重復(fù)使用這些憑證?！睂?duì)此通用汽車(chē)要求受影響的用戶 在再次登錄他們的帳戶之前重置他們的密碼。

個(gè)人信息暴露

當(dāng)黑客成功入侵用戶的通用汽車(chē)帳戶后，他們可以訪問(wèn)存儲(chǔ)在該網(wǎng)站上的某些信息。此信息包括以下個(gè)人詳細(xì)信息：

? 名字和姓氏，

? 個(gè)人電子郵件地址，

? 個(gè)人地址，

? 與帳戶綁定的注冊(cè)家庭成員的用戶名和電話號(hào)碼，

? 最后已知和保存的最喜歡的位置信息，

? 當(dāng)前訂閱的 OnStar 套餐(如果適用)，

? 家庭成員的頭像和照片(如果已上傳)，

? 個(gè)人資料圖片，

? 搜索和目的地信息。

黑客入侵通用汽車(chē)賬戶時(shí)可獲得的其他信息包括汽車(chē)?yán)锍虤v史、服務(wù)歷史、緊急聯(lián)系人、Wi-Fi 熱點(diǎn)設(shè)置(包括密碼)等。但帳戶里不包含出生日期、社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、信用卡信息或銀行帳戶信息，因此這些信息沒(méi)有被泄露。

除了重置密碼外，通用汽車(chē)還建議受影響的用戶向銀行索取信用報(bào)告，如有必要還可進(jìn)行賬戶安全凍結(jié)。不幸的是，通用汽車(chē)的在線站點(diǎn)不支持雙重身份驗(yàn)證，所以其網(wǎng)站無(wú)法阻止撞庫(kù)攻擊。不過(guò)還有一種做法是客戶可以給所有的支付動(dòng)作添加PIN碼驗(yàn)證環(huán)節(jié)。至于受影響的客戶數(shù)量，通用汽車(chē)只向加州總檢察長(zhǎng)辦公室提交了一份通知樣本，因此我們只知道該州受影響的客戶數(shù)量，也就是略低于5,000家。

參考來(lái)源

https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/

來(lái)源： FreeBuf