Клиенты General Motors стали жертвами атаки credential stuffing

[Artifact]

Хакеры похитили информацию о некоторых клиентах и обменяли их бонусные баллы на подарочные сертификаты.

Американский автопроизводитель General Motors сообщил, что в прошлом месяце стал жертвой атаки с подстановкой учетных данных, в результате которой злоумышленники похитили информацию о некоторых клиентах и обменяли их бонусные баллы на подарочные сертификаты.
У General Motors есть online-платформа, на которой владельцы автомобилей Chevrolet, Buick, GMC и Cadillac могут управлять своими счетами и сервисами и обменивать бонусные баллы на автомобили GM, обслуживание в автосервисах, аксессуары и оплату сервисного плана OnStar.
Как сообщили в компании, GM обнаружила вредоносную активность 11-29 апреля 2022 года и выяснила, что хакеры обменяли бонусы некоторых клиентов на подарочные сертификаты. Автопроизводитель уведомил всех пострадавших клиентов и пообещал восстановить их бонусные баллы.
Инцидент стал результатом не взлома General Motors, а атаки с подстановкой учетных данных, также известной как credential stuffing. Другими словами, злоумышленники воспользовались утекшими ранее логинами и паролями с других сайтов и с их помощью попытались авторизоваться на online-платформе GM. В ряде случаев учетные данные подошли, и хакеры смогли получить доступ к этим учетным записям.
«Мы полагаем, что неавторизованные злоумышленники получили доступ к учетным данным пользователей, которые были скомпрометированы раньше на других сайтах, не имеющих отношения к GM, а затем воспользовались ими для доступа к учетным записям клиентов GM», - сообщили в компании.
Взломав учетные записи, хакеры могли получить доступ к такой хранящейся на сайте пользовательской информации, как имена и фамилии, электронные адреса и адреса проживания, имена пользователя и телефонные номера зарегистрированных членов семьи, привязанных к учетной записи, данные о последнем местоположении и часто посещаемых местах, текущий тариф OnStar, фотографии членов семьи, фотографии профиля и информация о поиске места назначения. Кроме того, злоумышленники могли видеть данные о пробеге автомобиля, историю обслуживания в автосервисах, контакты на случай экстренных ситуаций, настройки точки доступа Wi-Fi (в том числе пароли) и пр.
В учетных записях клиентов GM не хранятся даты рождения, номера соцстрахования, номера водительских прав, данные кредитных карт и банковская информация.
К несчастью для клиентов GM, online-платформа компании не поддерживает двухфакторную аутентификацию, которая предотвратила бы атаки с подстановкой учетных данных.