Le bureau du procureur général de l’État de New York (NY OAG) a averti 17 entreprises bien connues qu’environ 1,1 million de leurs clients ont vu leurs comptes d’utilisateur compromis dans des attaques de bourrage d’informations d’identification.
Dans de telles attaques, les acteurs de la menace font des tentatives automatisées et répétées (des millions à la fois) pour accéder aux comptes d’utilisateurs à l’aide d’informations d’identification (généralement des paires utilisateur/mot de passe) volées sur d’autres services en ligne.
Cette tactique fonctionne particulièrement bien contre les comptes de ceux qui réutilisent leurs informations d’identification sur plusieurs plates-formes.
L’objectif final des attaquants est d’accéder à autant de comptes que possible pour voler les informations personnelles et financières associées qui peuvent être vendues sur des forums de piratage ou sur le dark web.
Les acteurs de la menace peuvent également utiliser les informations eux-mêmes dans diverses escroqueries d’usurpation d’identité ou effectuer des achats non autorisés.
NY OAG a découvert ces comptes en ligne compromis après une « enquête approfondie » sur plusieurs mois après avoir surveillé plusieurs communautés en ligne dédiées au partage d’informations d’identification validées récoltées lors d’attaques de bourrage d’informations d’identification non détectées auparavant.
« Après avoir examiné des milliers de messages, l’OAG a compilé les identifiants de connexion pour les comptes clients de 17 entreprises bien connues, qui comprenaient des détaillants en ligne, des chaînes de restaurants et des services de livraison de nourriture », NY OAG mentionné aujourd’hui.
« Au total, l’OAG a collecté les informations d’identification pour plus de 1,1 million de comptes clients, qui semblaient tous avoir été compromis lors d’attaques de bourrage d’informations d’identification.
« Après la découverte des attaques, le bureau du procureur général (OAG) a alerté les entreprises concernées afin que les mots de passe puissent être réinitialisés et que les consommateurs puissent être informés. »
Selon un rapport d’Akamai publié en mai 2021, la société a observé plus de 193 milliards d’attaques de « credenting stuffing » dans le monde en 2020, avec une croissance de 45 % par rapport à l’année précédente.
Digital Shadows a également rapporté l’année dernière ce rapport plus de 15 milliards d’identifiants sont actuellement partagés ou vendus en ligne, la plupart appartenant à des consommateurs.
Ce cache massif d’informations d’identification compromises en circulation est à l’origine d’une récente augmentation des attaques de bourrage d’informations d’identification.
« À l’heure actuelle, plus de 15 milliards d’identifiants volés circulent sur Internet, car les informations personnelles des utilisateurs sont menacées » a déclaré le procureur général de New York, Letitia James.
« Les entreprises ont la responsabilité de prendre les mesures appropriées pour protéger les comptes en ligne de leurs clients et ce guide présente les garanties essentielles que les entreprises peuvent utiliser dans la lutte contre le bourrage d’informations d’identification. Nous devons faire tout notre possible pour protéger les informations personnelles des consommateurs et leur vie privée. »
Aujourd’hui, NY OAG a également publié un rapport fournir plus de détails sur son enquête sur le bourrage d’informations d’identification et sur la manière dont les entreprises peuvent protéger leurs clients et répondre à de tels incidents.
Par exemple, il est conseillé aux entreprises de mettre en œuvre des services de détection de bots, d’authentification multifacteur et d’authentification sans mot de passe et de surveiller le trafic client pour détecter des signes d’attaques (par exemple, des pics de volume de trafic ou des tentatives de connexion infructueuses).