通用汽车遭撞库攻击被暴露车主个人信息|国际刑警组织:国家网络武器将很快在暗网上出现
时间:2022-05-25
通用汽车遭撞库攻击被暴露车主个人信息
近期,通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失,通用汽车表示,他们将为所有受此事件影响的客户恢复奖励积分。但根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。
撞库是指黑客通过收集网上已泄露的用户和密码信息,生成对应的字典表,并尝试批量登陆其他网站后,得到一系列可以登录的用户。经后续的调查,通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的,“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限,然后在客户的通用汽车账户上重复使用这些凭证。”对此通用汽车要求受影响的用户 在再次登录他们的帐户之前重置他们的密码。
个人信息暴露
当黑客成功入侵用户的通用汽车帐户后,他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息:
- 名字和姓氏,
- 个人电子邮件地址,
- 个人地址,
- 与帐户绑定的注册家庭成员的用户名和电话号码,
- 最后已知和保存的最喜欢的位置信息,
- 当前订阅的 OnStar 套餐(如果适用),
- 家庭成员的头像和照片(如果已上传),
- 个人资料图片,
- 搜索和目的地信息。
黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置(包括密码)等。但帐户里不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息,因此这些信息没有被泄露。
除了重置密码外,通用汽车还建议受影响的用户向银行索取信用报告,如有必要还可进行账户安全冻结。不幸的是,通用汽车的在线站点不支持双重身份验证,所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量,通用汽车只向加州总检察长办公室提交了一份通知样本,因此我们只知道该州受影响的客户数量,也就是略低于5,000家。
参考来源
https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/
国际刑警组织:国家网络武器将很快在暗网上出现
图:国际刑警组织秘书长Jurgen Stock
国际刑警组织秘书长Jurgen Stock警告,由国家开发的网络武器会在“几年”后出现在暗网上;
他呼吁商界领袖加强与政府及执法部门的合作,上报网络安全事件,明晰威胁态势。
国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。
国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。
周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。”
他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。”
网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。
俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。
Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。
他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。”
“我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。”
Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。”
根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。
参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。
工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。
Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于,很多已经投资并开发完成的成果仍未得到实际应用。”
参考资料:cnbc.com