Chick-fil-A restaurant

米国のファーストフードチェーンであるChick-fil-Aは、顧客のアカウントが数か月にわたるクレデンシャルスタッフィング攻撃で侵害され、脅威アクターが保存された報酬残高を使用して個人情報にアクセスできるようにしたことを確認しました.

1 月に、Chick-fil-A が顧客のアカウントで「疑わしい活動」と呼ばれるものの調査を開始したと報告しました

ウェブサイト上のチックフィレイアラート
ウェブサイト上のチックフィレイアラート

当時、Chick-fil-A は、アカウントで疑わしいアクティビティを検出した場合に顧客がすべきことに関する情報を記載したサポート ページを設定しました。

この警告は、Chick-fil-A のユーザー アカウントが Credential Stuffing 攻撃で盗まれ、オンラインで販売されたという報告について、クリスマス前に Chick-fil-A にメールを送った後に出されました。

これらのアカウントは、報酬アカウントの残高とリンクされた支払い方法に応じて、2 ドルから 200 ドルの範囲の価格で販売されました。

あるテレグラム チャネルでは、人々がこれらのアカウントを購入し、これらのアカウントを通じて行われた購入の写真を共有している様子が見られました。

販売のためのチックフィレイアカウント
販売のためのチックフィレイアカウント
ソース:

Chick-fil-A が Credential Stuffing 攻撃を確認

今日、Chick-fil-A は、2022 年 12 月 18 日から 2023 年 2 月 12 日の間に Credential Stuffing 攻撃を受けたことをカリフォルニア州司法長官室に提出したセキュリティ通知で報告したことを確認しました。

「慎重な調査の結果、2022 年 12 月 18 日から 2023 年 2 月 12 日の間に、サードパーティのソースから取得したアカウント資格情報 (電子メール アドレスやパスワードなど) を使用して、権限のない者が当社の Web サイトとモバイル アプリケーションに対して自動攻撃を仕掛けたと判断しました。

当社の調査に基づき、2023 年 2 月 12 日に、無許可の第三者がその後、あなたの Chick-fil-A One アカウントの情報にアクセスしたと判断しました。” – Chick-fil-A の通知.

ファーストフード チェーンは、影響を受けた顧客に対して、自分のアカウントにアクセスした攻撃者は、名前、メール アドレス、Chick-fil-A One の会員番号、携帯電話の支払い番号、QR コード、マスクされたクレジットなどの個人情報にもアクセスできた可能性があると警告しています。 /デビット カード番号、アカウントの Chick-fil-A クレジット (e ギフト カードの残高など) の金額 (存在する場合)。

一部の顧客の情報には、誕生日、電話番号、実際の住所、およびクレジット カード番号の下 4 桁が含まれていた可能性があります。

攻撃を受けて、Chick-fil-A は顧客にパスワードのリセットを強制し、アカウントに入金された資金を凍結し、保存されている支払い情報をアカウントから削除しました。

Chick-fil-A はまた、謝罪の方法として、Chick-fil-A One アカウントの残高を復元し、影響を受けたアカウントに報酬を追加したと述べています。

他のデータ侵害で公開された資格情報を使用してアカウントが侵害されたため、影響を受けたユーザーは、特に同じ Chick-fil-A パスワードを使用している場合、頻繁に使用するすべてのサイトでパスワードを変更する必要があります。

パスワードをリセットするときは、各サイトに固有のパスワードを使用し、Bitwarden などのパスワード マネージャーに保存して、簡単に管理できるようにします。

個人情報が悪用されたという証拠はありませんが、影響を受けたお客様は、この情報を悪用した可能性のある標的型フィッシング メールにも注意する必要があります。