A gigante do setor bancário internacional HSBC informou que foi violada em outubro, como resultado de um ataque do tipo credential stuffing. O vazamento de dados inclui nomes, endereços, históricos de transações, informações da conta e muito mais.
Em um comunicado arquivado no estado da Califórnia, o banco informou que algumas contas online foram acessadas por usuários não autorizados entre 4 e 14 de outubro. O hack afetou um segmento de clientes do banco – menos de 1% de sua base de clientes nos EUA, disse à BBC, embora os números exatos não tenham sido divulgados. O incidente expôs nomes, endereços e datas de nascimento, juntamente com informações específicas do setor bancário, como números de contas e saldos, históricos de transações e extratos, além de números de contas de beneficiários.
“O HSBC lamenta esse incidente e assumimos nossa responsabilidade de proteger nossos clientes muito a sério”, disse o banco em um comunicado. “Notificamos os clientes cujas contas podem ter acessos não autorizados e estamos oferecendo a eles um ano de monitoramento de crédito e serviços de proteção contra roubo.”
Mais detalhes sobre a violação, incluindo se os fundos foram roubados das contas das vítimas, ainda não foram revelados.
Um ataque do tipo credential stuffing ocorre quando invasores tentam forçar a utilização de senhas usando métodos automatizados (brute force) para testar as credenciais das conta obtidas de violações anteriores nas contas de destino. Eles procuram por situações de reutilização de senha.
“Do ponto de vista da organização: credential stuffing parece uma explicação suspeita para uma violação de conta bancária”, disse Bryan Becker, pesquisador de segurança de aplicativos da WhiteHat Security, por e-mail. “De um modo geral, os bancos exigem algum tipo de autenticação de dois fatores, e isso deve impedir qualquer ataque de preenchimento de credenciais em suas trilhas. Isso levanta a questão: Por que o HSBC não estava usando a autenticação de dois fatores ou, se fosse, qual era a causa real da violação?”
No entanto, no relatório Shape Security’s 2018 Credential Spill, da Shape Security, mostra que o setor bancário de consumo dos EUA perde até US$ 1,7 bilhão anualmente como resultado de credential-stuffing, e que esses ataques respondem por até 58% do tráfego de login de um banco do consumidor. Em termos de estatísticas granulares, o relatório estima que há uma média de 232,2 milhões de tentativas de login mal-intencionado por dia, com taxa de sucesso de 0,05% para o setor bancário, o que equivale a 116.106 ataques de aquisição de contas todos os dias, com uma média de US$ 400 roubados de uma conta individual.
“Embora o HSBC não tenha informado que as senhas foram incluídas nas informações violadas, é importante entender que os ataques de credential stuffing originam-se da senha da conta em questão, portanto e, por isso, deve-se presumir que essas senhas já foram violadas, não apenas pelo HSBC”, disse Jarrod Overson, diretor de engenharia da Shape Security, em um comunicado enviado por e-mail. “Isso é típico para aquisições de contas devido ao credential stuffing e, com mais de 7 bilhões de registros de credenciais vazados desde 2015, é razoável supor que isso poderia acontecer com praticamente qualquer pessoa.”
O HSBC já viveu incidentes de segurança anteriores, incluindo ataques DDoS em janeiro e julho de 2016, e vazamentos de dados de clientes em 2009 e 2015.
EXTRAS: Informações Adicionais
- Violações de senhas estão impulsionando o mercado de credential stuffing
- Ataques de reutilização de credenciais
.
* * * * *
.
Publicado originalmente no ThreatPost em 06 de novembro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autora: Tara Seals
Tradução por Tiago Souza
Imagem destacada deste post: GraphiqaStock / Freepik (banco de imagem)
.
Disclaimer: Todas as informações aqui contidas são para fins didáticos e não para causar danos e prejuízos para alguém, usem sempre o conhecimento aqui compartilhado com ética e responsabilidade. Não nos responsabilizamos pela utilização indevida do conteúdo aqui exposto. Leia mais no aviso legal em nosso site.
.