Les cybercriminels ont pu accéder à un certain nombre de comptes d’utilisateurs sur le site Web de l’organisateur de mariage Zola, les détournant pour essayer d’acheter des chèques-cadeaux, a confirmé la société.
La nouvelle est apparue pour la première fois sur les réseaux sociaux lorsque les utilisateurs de Zola se sont rendus sur Twitter et Reddit pour informer les autres de l’accès non autorisé au compte et des multiples tentatives d’achat.
D’autres ont trouvé des comptes Zola compromis à vendre sur le marché noir, mais la société n’a pas tardé à minimiser la gravité de la nouvelle.
Credential stuffing et mots de passe faibles
« Nous comprenons la perturbation et le stress que cela a causé à certains de nos couples, mais nous sommes heureux d’annoncer que toutes les tentatives frauduleuses de transfert de fonds en espèces ont été bloquées », a déclaré Emily Forrest, directrice des communications de Zola. « Les cartes de crédit et les informations bancaires n’ont jamais été exposées et continuent d’être protégées. »
L’infrastructure et les terminaux de Zola (s’ouvre dans un nouvel onglet) n’ont apparemment pas été piratés, les criminels utilisant une technique de bourrage d’informations d’identification, dans laquelle les attaquants essaient de nombreuses combinaisons nom d’utilisateur/mot de passe, jusqu’à ce que l’une d’elles reste. Le credential stuffing fonctionne généralement sur les victimes qui utilisent la même combinaison nom d’utilisateur/mot de passe sur une multitude de services.
Forrest a ajouté que la société avait repéré un certain nombre de commandes de cartes-cadeaux frauduleuses et qu’elle résolvait actuellement le problème, notant que moins de 0,1 % des comptes étaient concernés.
Cependant, Zola a confirmé qu’il avait réinitialisé tous les mots de passe des utilisateurs après avoir appris la violation. Les applications mobiles pour les deux plates-formes ont également été désactivées lors de l’incident, mais ont depuis été réactivées.
Malgré la possibilité de lier des comptes bancaires à celui de Zola, ce dernier ne fournit aucune fonctionnalité d’authentification secondaire, telle qu’une application pour l’authentification à deux facteurs (2FA (s’ouvre dans un nouvel onglet)), clés de sécurité, etc. Cela, selon TechCrunch, facilite les attaques de bourrage d’informations d’identification.
Les experts en sécurité recommandent généralement de créer un mot de passe fort et unique pour chaque service. Bien que cela puisse sembler être une nuisance majeure, un bon gestionnaire de mots de passe peut éliminer tout le désagrément lié à la gestion de nombreux mots de passe uniques.
Via : The Verge (s’ouvre dans un nouvel onglet)