Les pirates ont lancé une attaque automatisée de bourrage d’informations d’identification contre Chick-fil-A et vendu des comptes compromis sur le marché noir, a confirmé la société aux autorités locales.
La chaîne de restauration rapide a soumis un avis de sécurité au bureau du procureur général de Californie, dans lequel elle a déclaré qu’entre le 18 décembre de l’année dernière et le 12 février de cette année, elle avait subi une attaque de bourrage d’informations d’identification.
Le credential stuffing est une attaque automatisée dans laquelle les acteurs de la menace essaient d’innombrables combinaisons nom d’utilisateur/mot de passe, généralement obtenues à partir d’autres violations de données, pour voir si les informations obtenues ailleurs étaient également valides sur la plate-forme attaquée. Étant donné que de nombreux utilisateurs optent souvent pour la même combinaison nom d’utilisateur/mot de passe dans une multitude de services, les attaques de credential stuffing remportent souvent un succès retentissant.
Données sensibles volées
Cela semble également avoir été le cas avec Chick-fil-A.
« Après une enquête approfondie, nous avons déterminé que des parties non autorisées avaient lancé une attaque automatisée contre notre site Web et notre application mobile entre le 18 décembre 2022 et le 12 février 2023 en utilisant des informations d’identification de compte (par exemple, des adresses e-mail et des mots de passe) obtenues auprès d’une source tierce. Sur la base de notre enquête, nous avons déterminé le 12 février 2023 que les parties non autorisées avaient ensuite accédé aux informations de votre compte Chick-fil-A One », a déclaré la société.
Pendant l’attaque, les acteurs de la menace ont obtenu des informations (s’ouvre dans un nouvel onglet) tels que les noms d’utilisateurs, les adresses e-mail, les numéros de membre Chick-fil-A One, les numéros de paiement mobile, les codes QR, les numéros de carte de crédit et de débit masqués et le montant des crédits Chick-fil-A. C’est ce dernier qui a également déterminé la valeur de chaque compte individuel sur le marché noir. Les prix variaient de 2 $ à 200 $, et selon BipOrdinateurles gens ont utilisé des comptes volés pour effectuer des achats.
Pour résoudre le problème, la société a forcé la réinitialisation des mots de passe de ses clients, gelé les fonds chargés sur les comptes et supprimé toutes les informations de paiement stockées. Il a également restauré les soldes des comptes et ajouté des récompenses aux personnes dont les comptes avaient été compromis, même si techniquement, l’entreprise n’est pas en faute ici.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)