El fabricante de automóviles estadounidense General Motors (GM) dice que experimentó un ataque de relleno de credenciales el mes pasado. Durante el ataque, se robaron información del cliente y puntos de recompensa.
El objeto del ataque fue una plataforma en línea, administrada por GM, para ayudar a los propietarios de vehículos Chevrolet, Buick, GMC y Cadillac a administrar sus facturas, servicios y canjear puntos de recompensa.
Credential Stuffing
El credential stuffing es un tipo especial de ataque de gran fuerza en el que el atacante usa combinaciones de nombre de usuario y contraseña existentes, generalmente las que fueron robadas en una violación de datos en otro servicio.
La intención de dicho ataque no es apoderarse del sitio web o la plataforma, sino simplemente obtener la mayor cantidad posible de credenciales de cuenta de usuario válidas y usar ese acceso para cometer fraude o vender las credenciales válidas a otros delincuentes.
Para evitar que un objetivo simplemente bloquee su dirección IP, un atacante generalmente usará proxies rotativos. Un proxy rotativo es un servidor proxy que asigna una nueva dirección IP del grupo de proxy para cada conexión.
El ataque
GM reveló que detectó la actividad de inicio de sesión malicioso entre el 11 y el 29 de abril de 2022, y confirmó que los actores de amenazas intercambiaron bonos de recompensa de clientes de algunos clientes por certificados de regalo.
El programa My GM Rewards permite a los miembros ganar y canjear puntos para comprar o arrendar un nuevo vehículo GM, así como para repuestos, accesorios, servicio certificado pagado y planes selectos de servicios conectados y OnStar.
GM dice que inmediatamente investigó el problema y notificó a los clientes afectados sobre los problemas.
Víctimas
GM contactó a las víctimas de la violación y les aconsejó que siguieran las instrucciones para recuperar su cuenta de GM. GM también está obligando a los usuarios afectados a restablecer sus contraseñas antes de volver a iniciar sesión en sus cuentas. En la notificación para los clientes afectados, GM dijo que restablecerá los puntos de recompensa para todos los clientes afectados por esta infracción.
GM señaló específicamente que las credenciales utilizadas en el ataque no procedían de la propia GM.
“Según la investigación realizada hasta la fecha, no hay pruebas de que la información de inicio de sesión se haya obtenido de la propia GM. Creemos que las partes no autorizadas obtuvieron acceso a las credenciales de inicio de sesión del cliente que anteriormente se vieron comprometidas en otros sitios que no son de GM y luego reutilizaron esas credenciales en la cuenta de GM del cliente”.
Información robada
Los atacantes podrían haber accedido a la siguiente información de identificación personal (PII) de un usuario comprometido:
Nombre y apellido
Dirección de correo electrónico
Dirección física
Nombre de usuario y número de teléfono de los familiares registrados vinculados a la cuenta
Información de la última ubicación favorita conocida y guardada
Búsqueda e información de destino
Otra información que estaba disponible era el historial de millaje del automóvil, el historial de servicio, los contactos de emergencia, la configuración del punto de acceso Wi-Fi (incluidas las contraseñas) y el paquete OnStar actualmente suscrito (si corresponde).
GM ofrece monitoreo de crédito por un año.
Mitigación
¿Qué podría haber hecho GM para prevenir el ataque? Actualmente no ofrece autenticación multifactor (MFA), lo que habría impedido que los atacantes obtuvieran acceso a las cuentas. GM pide a los clientes que agreguen un PIN para todas las compras.
Este incidente demuestra lo peligroso que es reutilizar sus contraseñas para sitios, servicios y plataformas. Incluso si la cuenta no le parece tan importante, la información que se puede obtener al acceder a la cuenta bien podría ser algo que desee mantener en privado.
Siempre use una contraseña diferente para cada servicio que use, y considere usar un administrador de contraseñas para almacenarlos todos.
General Motors sufre un ataque de Credential Stuffing
El fabricante de automóviles estadounidense General Motors (GM) dice que experimentó un ataque de relleno de credenciales el mes pasado. Durante el ataque, se robaron información del cliente y puntos de recompensa.
El objeto del ataque fue una plataforma en línea, administrada por GM, para ayudar a los propietarios de vehículos Chevrolet, Buick, GMC y Cadillac a administrar sus facturas, servicios y canjear puntos de recompensa.
Credential Stuffing
El credential stuffing es un tipo especial de ataque de gran fuerza en el que el atacante usa combinaciones de nombre de usuario y contraseña existentes, generalmente las que fueron robadas en una violación de datos en otro servicio.
La intención de dicho ataque no es apoderarse del sitio web o la plataforma, sino simplemente obtener la mayor cantidad posible de credenciales de cuenta de usuario válidas y usar ese acceso para cometer fraude o vender las credenciales válidas a otros delincuentes.
Para evitar que un objetivo simplemente bloquee su dirección IP, un atacante generalmente usará proxies rotativos. Un proxy rotativo es un servidor proxy que asigna una nueva dirección IP del grupo de proxy para cada conexión.
El ataque
GM reveló que detectó la actividad de inicio de sesión malicioso entre el 11 y el 29 de abril de 2022, y confirmó que los actores de amenazas intercambiaron bonos de recompensa de clientes de algunos clientes por certificados de regalo.
El programa My GM Rewards permite a los miembros ganar y canjear puntos para comprar o arrendar un nuevo vehículo GM, así como para repuestos, accesorios, servicio certificado pagado y planes selectos de servicios conectados y OnStar.
GM dice que inmediatamente investigó el problema y notificó a los clientes afectados sobre los problemas.
Víctimas
GM contactó a las víctimas de la violación y les aconsejó que siguieran las instrucciones para recuperar su cuenta de GM. GM también está obligando a los usuarios afectados a restablecer sus contraseñas antes de volver a iniciar sesión en sus cuentas. En la notificación para los clientes afectados, GM dijo que restablecerá los puntos de recompensa para todos los clientes afectados por esta infracción.
GM señaló específicamente que las credenciales utilizadas en el ataque no procedían de la propia GM.
“Según la investigación realizada hasta la fecha, no hay pruebas de que la información de inicio de sesión se haya obtenido de la propia GM. Creemos que las partes no autorizadas obtuvieron acceso a las credenciales de inicio de sesión del cliente que anteriormente se vieron comprometidas en otros sitios que no son de GM y luego reutilizaron esas credenciales en la cuenta de GM del cliente”.
Información robada
Los atacantes podrían haber accedido a la siguiente información de identificación personal (PII) de un usuario comprometido:
Nombre y apellido
Dirección de correo electrónico
Dirección física
Nombre de usuario y número de teléfono de los familiares registrados vinculados a la cuenta
Información de la última ubicación favorita conocida y guardada
Búsqueda e información de destino
Otra información que estaba disponible era el historial de millaje del automóvil, el historial de servicio, los contactos de emergencia, la configuración del punto de acceso Wi-Fi (incluidas las contraseñas) y el paquete OnStar actualmente suscrito (si corresponde).
GM ofrece monitoreo de crédito por un año.
Mitigación
¿Qué podría haber hecho GM para prevenir el ataque? Actualmente no ofrece autenticación multifactor (MFA), lo que habría impedido que los atacantes obtuvieran acceso a las cuentas. GM pide a los clientes que agreguen un PIN para todas las compras.
Este incidente demuestra lo peligroso que es reutilizar sus contraseñas para sitios, servicios y plataformas. Incluso si la cuenta no le parece tan importante, la información que se puede obtener al acceder a la cuenta bien podría ser algo que desee mantener en privado.
Siempre use una contraseña diferente para cada servicio que use, y considere usar un administrador de contraseñas para almacenarlos todos.
¡Manténganse a salvo, todos!
Categorías
Buscar