2022年05月24日
近期,通用汽車表示他們在今年4月11日至29日期間檢測到了惡意登錄活動,經調查后發現黑客在某些情況下將客戶獎勵積分兌換為禮品卡,針對此次事件,通用汽車也及時給受影響的客服發郵件并告知客戶。為了彌補客戶所受損失,通用汽車表示,他們將為所有受此事件影響的客戶恢復獎勵積分。但根據調查,這些違規行為并不是通用汽車被黑客入侵的結果,而是由針對其平臺上的客戶的一波撞庫攻擊引起的。
撞庫是指黑客通過收集網上已泄露的用戶和密碼信息,生成對應的字典表,并嘗試批量登陸其他網站后,得到一系列可以登錄的用戶。經后續的調查,通用汽車表示目前沒有證據表明登錄信息是從通用汽車本身獲得的,“未經授權的用戶獲得了之前在其他非通用汽車網站上被泄露的客戶登錄憑證的訪問權限,然后在客戶的通用汽車賬戶上重復使用這些憑證。”對此通用汽車要求受影響的用戶 在再次登錄他們的帳戶之前重置他們的密碼。
個人信息暴露
當黑客成功入侵用戶的通用汽車帳戶后,他們可以訪問存儲在該網站上的某些信息。此信息包括以下個人詳細信息:
名字和姓氏,
個人電子郵件地址,
個人地址,
與帳戶綁定的注冊家庭成員的用戶名和電話號碼,
最后已知和保存的最喜歡的位置信息,
當前訂閱的 OnStar 套餐(如果適用),
家庭成員的頭像和照片(如果已上傳),
個人資料圖片,
搜索和目的地信息。
黑客入侵通用汽車賬戶時可獲得的其他信息包括汽車里程歷史、服務歷史、緊急聯系人、Wi-Fi 熱點設置(包括密碼)等。但帳戶里不包含出生日期、社會安全號碼、駕駛執照號碼、信用卡信息或銀行帳戶信息,因此這些信息沒有被泄露。
除了重置密碼外,通用汽車還建議受影響的用戶向銀行索取信用報告,如有必要還可進行賬戶安全凍結。不幸的是,通用汽車的在線站點不支持雙重身份驗證,所以其網站無法阻止撞庫攻擊。不過還有一種做法是客戶可以給所有的支付動作添加PIN碼驗證環節。至于受影響的客戶數量,通用汽車只向加州總檢察長辦公室提交了一份通知樣本,因此我們只知道該州受影響的客戶數量,也就是略低于5,000家。