Как преступники наживаются на любви к животным и причём тут Credential Stuffing?
PetSmart, крупнейший ритейлер товаров для животных в США, обслуживающий свыше 60 миллионов клиентов и насчитывающий около 1600 магазинов по всей стране, недавно столкнулся с целенаправленной кибератакой.
6 марта команда безопасности PetSmart начала рассылать своим клиентам уведомления о том, что их аккаунты стали целью атак, направленных на получение доступа к персональным данным. Как сообщается, злоумышленники действовали методом Credential Stuffing.
В качестве меры предосторожности компания сбросила пароли всех аккаунтов, которые использовались в период атак, так как не было возможности определить, был ли вход осуществлён владельцем аккаунта или злоумышленниками.
В своём сообщении представители PetSmart подчеркнули, что не было обнаружено никаких признаков компрометации самого сайта «petsmart[.]com» или каких-либо систем компании. Уведомление содержит инструкции для восстановления доступа к аккаунтам через функцию «забыли пароль» на официальном сайте компании.
Атаки методом Credential Stuffing осуществляются путём использования логинов и паролей, полученных из утечек данных, для входа на другие сайты. После успешного взлома аккаунта злоумышленники могут совершать мошеннические покупки, распространять спам или запускать новые атаки.
Ранее с подобными атаками уже сталкивались многие крупные компании, например, PayPal, Spotify, Xfinity и DraftKings. Последствия для последней оказались особенно разрушительными.
Так, в мае 2023 года 18-летний хакер был обвинён во взломе платформы DraftKings, специализирующейся на спортивных ставках, и последующей продаже учётных данных 60 000 пользователей в даркнете. Ущерб платформы был оценён в 600 тысяч долларов, а самого хакера приговорили к полутора годам тюремного заключения, трём годам условно, а также к выплате гигантского штрафа.
Ладно, не доказали. Но мы работаем над этим