I criminali informatici sono stati in grado di accedere a diversi account utente sul sito Web della wedding planner Zola, dirottandoli per cercare di acquistare buoni regalo, ha confermato la società.
La notizia è stata diffusa per la prima volta sui social media quando gli utenti di Zola si sono rivolti a Twitter e Reddit per informare gli altri dell'accesso non autorizzato all'account e dei molteplici tentativi di acquisto.
Altri hanno trovato account Zola compromessi in vendita sul mercato nero, ma la società si è affrettata a minimizzare la gravità della notizia.
Credenziali ripiene e password deboli
"Comprendiamo l'interruzione e lo stress che ciò ha causato ad alcune delle nostre coppie, ma siamo lieti di segnalare che tutti i tentativi fraudolenti di trasferimento di denaro sono stati bloccati", ha affermato Emily Forrest, direttore delle comunicazioni di Zola. "I dati bancari e delle carte di credito non sono mai stati esposti e continuano ad essere protetti".
Apparentemente, l'infrastruttura e gli endpoint di Zola (si apre in una nuova scheda) non sono stati violati e i criminali hanno utilizzato una tecnica di credential stuffing, in cui gli aggressori provano molte combinazioni di nome utente e password, fino a quando non ne è rimasta una. Il riempimento delle credenziali generalmente funziona sulle vittime che utilizzano la stessa combinazione di nome utente e password su più servizi.
Forrest ha aggiunto che la società ha rilevato diversi ordini fraudolenti di carte regalo e sta attualmente risolvendo il problema, rilevando che meno dello 0,1% degli account è stato colpito.
Tuttavia, Zola ha confermato di aver reimpostato tutte le password degli utenti dopo aver appreso della violazione. Anche le app mobili per entrambe le piattaforme sono state disabilitate durante l'incidente, ma da allora sono state riattivate.
Nonostante la possibilità di collegare i conti bancari a quelli di Zola, Zola non fornisce alcuna funzionalità di autenticazione secondaria, come un'app per l'autenticazione a due fattori (2FA (si apre in una nuova scheda)), chiavi di sicurezza, ecc. Questo, secondo TechCrunch, semplifica l'esecuzione degli attacchi di credential stuffing.
Gli esperti di sicurezza generalmente consigliano di creare una password forte e univoca per ogni servizio. Anche se può sembrare una seccatura enorme, un buon gestore di password può eliminare tutta la seccatura dalla gestione di molte password univoche.
Via: The Verge (si apre in una nuova scheda)