ChickfilA用户密码安全遭到破坏：警示与风险

关键要点

最近，71000名ChickfilA顾客收到了通知，称他们的在线客户忠诚账户通过自动凭证填充攻击遭到了侵犯。这一事件再次凸显了防范密码安全风险的迫切性。

从ChickfilA顾客处窃取的数据包括姓名、电子邮件地址、模糊化的信用卡和借记卡信息、ChickfilA One会员信息，以及食物积分。根据与多个州律师协会共享的泄露信息，针对ChickfilA顾客的凭证填充攻击已经持续了两个月。

ChickfilA表示：“经过仔细调查，我们确定未授权方于2022年12月18日至2023年2月12日期间，对我们的网站和移动应用程序发起了一次自动攻击，使用从第三方获取的账户凭证例如邮件地址和密码。”

凭证填充攻击解释

凭证填充Credential stuffing是指攻击者使用典型在非法在线论坛获取的用户名和密码，尝试在随机在线账户上进行自动化登录。犯罪分子的希望是，用户因为懒惰而在多个在线服务中重用密码。

根据Verizon的2023年数据泄露调查报告 (PDF)，密码管理不善是导致企业遭受泄露的主要原因之一。密码管理不善包括密码重用、弱密码、默认凭证，以及钓鱼或前提攻击等手段诱使用户透露用户名和密码。

Verizon报告指出，针对网络应用的成功攻击中，80的泄露与被盗凭证有关。而自2017年以来，被盗凭证的案件几乎增加了30，成为过去四年获取组织访问权限的常用手段。

根据缅因州的信息，共有71473个账户受到ChickfilA凭证填充攻击的影响。发送给受影响客户的信件于2023年3月2日，通报了事件并概述了应对措施。

ChickfilA表示：“一旦发现事件，我们立即采取措施保护顾客账户，包括要求顾客重置密码，删除任何存储的信用/借记卡支付方式，以及暂时冻结先前加载到客户ChickfilA One账户上的资金。”

当前密码安全现状

尽管公众意识已经提高，并且有多种密码强化技术，但密码、账户访问和数字身份的安全问题依旧紧迫。近期，Twitter因决定取消对未付费账户的双因素认证工具而遭到安全专家的批评。即便是使用最佳实践工具，如密码保险箱，用户仍可能面临泄露风险。例如，LastPass就遭遇了一起与其系统安全漏洞相关的重大密码泄露事件，影响了借助其服务存储的客户账户信息。

与此同时，旨在增强密码安全的技术仍未能广泛普及。根据PYMNTS的最新报告，尽管密码仍然是最广泛使用的身份验证形式，31的消费者认为生物识别技术更安全。

在所有使用密码的消费者中，只有四分之一的人偏好使用密码，而不是其他竞争技术，例如生物识别。

继续保持对密码安全的关注，明智地管理账户凭证，才能更好地应对当前网络安全环境下的挑战。