总部位于德克萨斯州的三明治供应商 Jason’s Deli 正在提醒其 Deli Dollars 奖励计划的成员，他们的个人数据可能会在撞库攻击中暴露。

 根据Jason’s Deli向缅因州总检察长办公室提交的文件，这些账户受到了从暗网收集的真实登录信息（之前其他系统遭到破坏）的影响，可能影响超过 344,000 名客户。

 客户通知的部分内容如下：“2023 年 12 月 21 日，我们获悉未经授权的一方获得了未知数量的 Deli Dollar 和在线帐户登录凭据（用户名和密码），这些凭据很可能来自其他数据泄露或不涉及 Jason 的其他来源。熟食店。这些未经授权的各方显然使用这些登录凭据来确定他们是否与我们的奖励和在线帐户相匹配。”

 因此，黑客能够侵入 Deli Dollars 帐户并访问相关详细信息，包括姓名、地址、电话号码、出生日期、首选商店位置、订单历史记录、团体订单联系人、家庭帐号、Deli Dollars 积分、根据 Jason’s Deli 向顾客发出的通知，可用的奖励以及部分信用卡和支付卡号。

 MFA、访问管理停止凭证填充

该连锁餐厅鼓励其 Deli Dollars 会员更新其登录凭据，特别是如果他们在其他帐户中使用相同的用户名和密码。

 Delinea 首席安全科学家兼顾问 CISO Joseph Carson 表示，这一违规行为凸显了跨帐户重复使用密码的愚蠢行为，以及多因素身份验证 (MFA)、密码管理器以及实施安全有效的访问管理的必要性。

 “对于提供在线帐户的企业和服务来说，这是一个提醒，当您允许用户选择自己的密码并在您的系统上存储敏感数据并且不强制执行强密码最佳实践时……最终将导致用户的帐户受到损害，”卡森解释道。

 卡森补充说，他注意到成功的撞库攻击有所增加。

 Menlo Security 的首席安全架构师 Lionel Litty 也青睐某种 MFA 工具。

 “虽然 MFA 对于密码重用和凭证填充至关重要，但并非所有 MFA 解决方案都提供同等的保护，”Litty 说。“为了真正充分发挥 MFA 的价值并确保全面的保护，组织必须投资于防网络钓鱼的 MFA。通过这样做，他们不仅可以减轻与密码泄露相关的风险，还可以提升整体网络安全态势。”

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292890

封面来源于网络，如有侵权请联系删除