Plus de 1,1 million de comptes clients en ligne dans 17 entreprises «bien connues» ont été compromis par des attaques de bourrage d’informations d’identification, selon une enquête du bureau du procureur général de l’État de New York (OAG).
Le BVG a déclaré que toutes les organisations concernées – qui comprennent les détaillants en ligne, les chaînes de restaurants et les services de livraison de nourriture – ont mis en œuvre des mesures correctives après avoir été informées, telles que l’alerte des personnes concernées et la réinitialisation des mots de passe.
Les propres enquêtes des entreprises ont ensuite révélé que la plupart des attaques n’avaient pas été détectées auparavant.
Attaque simple et efficace
Les attaques de credential stuffing utilisent des logiciels spécialisés pour « bourrer », à grande vitesse, des milliers ou des millions de combinaisons nom d’utilisateur-mot de passe glanées à partir de décharges de violation de données dans des pages de connexion.
Également appelée attaque de « réutilisation de mot de passe », la technique principalement automatisée est à la fois relativement simple et, puisqu’environ deux internautes sur trois (PDF) utilisez les mêmes informations de connexion sur plusieurs comptes en ligne, très efficace.
LIRE LA SUITE Attaques de credential stuffing : comment protéger vos comptes contre la compromission
Après avoir détourné des comptes en ligne, les attaquants peuvent alors voler l’identité des victimes et potentiellement contourner les processus d’authentification plus stricts mis en œuvre par les banques et autres dépositaires d’actifs de grande valeur.
Réseau de diffusion de contenu observé par Akamai plus de 193 milliards (PDF) attaques de credential stuffing rien qu’en 2020.
Une enquête de plusieurs mois
Au cours d’une enquête de plusieurs mois, le Bureau de l’Internet et de la technologie du BVG a surveillé plusieurs communautés cybercriminelles en ligne dédiées au credential stuffing.
Le bureau a compilé les informations d’identification que les attaquants avaient réussi à compromettre en utilisant la technique de prise de contrôle de compte après avoir parcouru des milliers de messages.
Les organisations concernées ont ensuite été aidées à déterminer comment les garanties existantes avaient été contournées et ont reçu des recommandations pour prévenir les récidives.
« Presque toutes » des 17 entreprises concernées ont depuis mis en place, ou conçu des plans pour mettre en place, des garanties supplémentaires, a déclaré le BVG dans un communiqué. communiqué de presse publié hier (5 janvier).
Recommandations
Dans un guide (PDF) publié pour aider les entreprises de l’État de New York à protéger leurs clients contre les attaques de bourrage d’informations d’identification, l’OAG a déclaré que les garanties les plus efficaces étaient les services de détection de robots, l’authentification multifacteur et l’authentification sans mot de passe.
L’OAG a également exhorté les plateformes de commerce électronique à faire des achats subordonnés à la réauthentification des détails de la carte de crédit, ayant rencontré de nombreux cas où l’absence d’un tel mécanisme avait entraîné des achats frauduleux.
Les plans de réponse aux incidents, quant à eux, doivent inclure des processus permettant de déterminer si et quels comptes ont été piratés, de bloquer l’accès continu des attaquants aux comptes concernés et de notifier les clients potentiellement concernés.
« À l’heure actuelle, plus de 15 milliards d’identifiants volés circulent sur Internet, car les informations personnelles des utilisateurs sont en danger », a déclaré la procureure générale de New York, Letitia James.
« Les entreprises ont la responsabilité de prendre les mesures appropriées pour protéger les comptes en ligne de leurs clients et ce guide présente les mesures de protection essentielles que les entreprises peuvent utiliser dans la lutte contre le credential stuffing. »
