Chipotle客户说他们的账户被黑客入侵了-王其杉博客|程序员|科技新闻
一批Chipotle客户表示,他们的账户被黑客入侵,并报告他们的信用卡被收取欺诈性订单,有时总计达数百美元。
客户已经在多个Reddit线程上发布了投诉账户违规的消息,更多的客户已经在@chipotletweets上发了微博,提醒快餐巨头这一问题。在大多数情况下,命令都是由受害者的账户下达的,而且通常不会送达受害者所在州的地址。
过去两天,TechCrunch与许多客户交谈时说,他们在其他网站上使用了自己的Chipotle帐户密码。Chipotle的发言人劳里·沙洛告诉TechCrunch,凭证填充是罪魁祸首。黑客从其他被破坏的网站获取用户名和密码的列表,并强行进入其他帐户。
但我们采访的几个客户说他们的密码是Chipotle独有的。另一位客户说他们没有账户,而是通过Chipotle的客人结账选择订购的。
Chipotle客户的微博。(屏幕截图:TechCrunch)
当我们向Chipotle询问此事时,Schalow表示,该公司正在“监控任何可能出现的账户安全问题,我们已经意识到这些问题,并继续没有任何迹象表明客户的私人数据遭到破坏”,并重申,该公司的数据指向凭证填充。
这是去年门卫客户提出的一系列类似的投诉,他们说他们的账户被不当访问。Doordash还将帐户黑客行为归咎于凭证填充,但无法解释某些帐户是如何被破坏的,即使用户告诉TechCrunch他们在网站上使用了唯一的密码。
如果凭证填充是Chipotle帐户泄露的罪魁祸首,那么推出双因素身份验证将有助于防止自动登录过程,并在黑客和受害者的帐户之间设置额外的屏障。
但当被问及Chipotle是否计划推出双因素认证以保护其客户的未来时,发言人Schalow拒绝置评。“我们不讨论我们的安全策略。”
Chipotle报告称,2017年的数据泄露影响了其2250家餐厅。黑客们用恶意软件感染了其销售点设备,从毫无戒心的餐馆顾客手中抢走了数百万张支付卡。100多家快餐连锁店也受到同样的恶意软件感染的影响。
今年8月,据称是Fin7黑客和欺诈集团成员的三名嫌疑人被控盗窃信用卡。
别再说“我们认真对待你的隐私和安全”