Американский автопроизводитель General Motors сообщил, что в прошлом месяце он стал жертвой хакерской атаки типа credential stuffing. В результате была раскрыта информация о некоторых клиентах, и хакеры сумели обменять чужие бонусные баллы на подарочные карты.
Судя по документам, поданным компанией в генеральную прокуратуру Калифорнии, от этих атак пострадало около 5000 пользователей.
General Motors владеет онлайн-платформой, где владельцы автомобилей Chevrolet, Buick, GMC и Cadillac могут управлять своими расходами, услугами, а также использовать бонусные баллы. Владельцы авто могут обменивать бонусные баллы GM на автомобили GM, услуги автосервиса, аксессуары и приобретать услуги OnStar.
Компания сообщает, что атаки типа credential stuffing наблюдались в период с 11 по 29 апреля 2022 года, и в некоторых случаях хакеры преуспели, сумев обменять бонусные баллы клиентов на подарочные карты.
Напомню, что термином credential stuffing обычно обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
«На основании проведенного расследования, у нет доказательств того, что информация для входа в систему была получена от самой GM, — поясняют в компании. — Мы считаем, что неавторизованные лица получили доступ к учетным данным клиентов, которые ранее были скомпрометированы на других сайтах, а затем повторно использовали эти учетные данные для клиентских аккаунтов GM».
Когда хакеры успешно взламывали учетные записи GM, они могли получить доступ к определенной информации автовладельцев, хранящейся на сайте, в том числе:
- имени и фамилии;
- адресу электронной почты;
- почтовому адресу;
- имени пользователя и номеру телефона для зарегистрированных членов семьи, связанных с аккаунтом;
- последнюю известную и сохраненную информацию о местоположениях;
- данным о пакете подписки OnStar (если активно);
- аватарам и фотографиям членов семьи (если загружены);
- изображению профиля;
- информации о поиске и местах назначения.
Также хакеры могли узнать историю пробега автомобиля, историю его обслуживания, информацию об экстренных контактах, настройки точки доступа Wi-Fi (включая пароли) и многое другое. В компании подчеркивают, что учетные записи, к счастью, не содержат дату рождения, номер социального страхования, номер водительского удостоверения, информацию о банковской карте или счете.
General Motors заявляет, что обязательно вернет клиентам все утраченные бонусные баллы. Также пользователям теперь настоятельно рекомендуется сбросить пароли и запросить в своих банках отчеты о кредитной истории.