Home Chef的敏感客户数据是如何被网络攻击泄露的

送餐服务Home Chef最近受到网络攻击,从顾客那里获取了几条敏感数据。该公司在其网站上描述了这起事件,称泄露的数据包括姓名、电话号码、电子邮件地址、加密密码、信用卡号码的最后四位数字,可能还有邮寄地址和送货频率等信息。尽管Home Chef说,它不会存储完整的信用卡或借记卡信息,但信用卡上的四位数字被盗,可能会让客户感到担忧。

该公司补充说,它一直在给受影响的客户发电子邮件,提醒他们注意这一漏洞。该公司强调用户密码是加密的,但仍敦促用户更改当前密码。

据报道,Home Chef是在了解到客户记录在黑暗网络上出售后才发现这个漏洞的。一个自称“闪亮猎人”的犯罪组织一直在出售几家公司的客户数据库,据BleepingComputer称,其中包括来自家庭厨师的800万份记录。该组织甚至还提供了一个样本,展示了存储在数据库表中的信息。在给BleepingComputer的一份声明中,Home Chef证实其数据泄露通知与在线销售的数据库有关。

参见:安全意识和培训政策(TechRepublic高级版)

作为对此次事件的回应,Home Chef在其网站上表示,正在“采取行动调查这一情况,并加强我们的信息安全防御,以防止类似事件在未来发生。”

但这种情况似曾相识。一个网站被入侵是由于薄弱的安全措施,各种漏洞或错误,一个熟练和持久的黑客,或三者的结合。该公司获悉了这次入侵,调查了原因,并向受影响的用户发出了警报。负责此事的人承诺,将修复任何可能导致攻击发生的安全漏洞,然后发誓不会再让攻击发生。但这种类型的事件确实指出了Home Chef和许多其他公司的安全盔甲上的具体漏洞。

Cerberus Sentinel负责解决方案架构的副总裁克里斯•克莱门茨(Chris Clements)表示:“不幸的是,与绝大多数被攻破的公司一样,Home Chef似乎只是在客户信息已经被发布到网上出售后才得到警告。”“很可能攻击者已经让家庭厨师妥协了一段时间,实际上可能仍然可以访问他们的系统和数据。他们可能仍然在积极地窃取客户信息。没有家庭厨师的确认,是不可能知道的。许多初创公司的‘快速行动、打破常规’心态往往意味着安全是次要的。”

克莱门茨还指出,家庭厨师的信息缺乏特异性。

克莱门茨说:“‘家庭厨师’的回应信息非常简洁,只说他们的一些数据遭到了攻击,他们正在进行调查,同时鼓励用户修改密码。”

尽管完整的信用卡卡号和普通密码没有被破解,但网络犯罪分子有办法使用和滥用其他类型的客户数据。

KnowBe4的安全意识倡导者Erich Kron说:“虽然这些信息乍一看可能不是特别有用,但不法分子可以利用这些信息对这些客户进行有针对性的攻击。”“通过获取电子邮件地址、街道地址、电话号码和信用卡号码的最后四位数,诈骗者可以非常有效地冒充被攻破组织的人,拨打一些电话,并使用社会工程技术要求更新信用卡信息、密码等。”

虽然密码是被窃取的,但Home Chef说密码是加密的,不过它确实建议用户修改密码。加密的密码安全吗?不一定。

“根据使用的加密技术和强度,攻击者可能会解密密码,”Kron说。“虽然用户可能会在这个网站上更改密码,但坏人知道,人们往往会在互联网上重复使用密码,并可能使用这些凭证执行所谓的凭证填充攻击。”这是坏人从一个网站获取已知凭证,并试图使用它登录到其他网站,如银行、其他购物网站、电子邮件帐户等。”

用户也应该采取一定的措施来保护他们的信息,避免将来的泄露。

Kron说:“这次攻击的受害者应该确保他们的密码在这个网站和其他被使用的网站上被修改。”他们应该尽可能考虑启用多因素身份验证,并研究密码库的使用,它为每个网站生成随机密码。受害者还应该知道,他们可能是钓鱼或钓鱼[语音钓鱼]计划的目标,骗子会打电话给他们使用他们拥有的信息,并试图让他们放弃进一步的信息。”

组织本身需要更好地防止数据泄露的发生。这不仅需要正确的技术和正确的用户培训,还需要对安全的承诺。

“组织应该采取一种安全文化,包括正在进行的教育所有员工当前的安全威胁和最好的行为以及常规模拟攻击,或用户渗透测试和计算机系统,以确保不存在任何漏洞或错误配置,攻击者可以利用“克莱门茨说。“最后,重要的是,组织有能力持续监控和回应他们网络上可疑的或不寻常的活动。”

尽管有最好的安全措施和保护,黑客仍然是聪明的、专注的和坚持不懈的。在很多情况下,网络攻击是否会发生不是问题,而是何时发生的问题。在这种情况下,组织应该如何响应,尤其是在敏感数据受到危害的情况下?

Clements说:“首先,组织应该有一个深思熟虑的计算机事件响应计划,详细说明当发现事件时应该采取的行动。”“重要的是,制定事故应对计划时要保持冷静,每个人事先都知道要遵循同样的过程。”在事故发生后的恐慌中,很多时候,反应者会犯错误,导致攻击者保持访问权限或防御者删除关键证据,这些证据可以用来确定事故的根本原因。”

最后,组织必须联系合适的人来帮助善后工作。

克莱门茨说:“在发现违规行为后,重要的是要向专业事件响应、法医公司以及适当的执法机构等生命线机构伸出援手。”“还应该咨询法律团队,以确定披露违约行为的法律或监管要求是什么。”


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。