Posté le mai 25, 2022 à 11:41

GENERAL MOTORS EST VICTIME D’UN PIRATAGE PAR CREDENTIAL STUFFING QUI A PERMIS D’ACCÉDER À DES COMPTES CLIENTS

Le grand constructeur automobile américain General Motors (GM) a révélé qu’il avait été récemment victime d’une attaque de credential stuffing qui a exposé les informations de certains de ses clients. Le constructeur automobile a également admis que les attaquants ont pu échanger des points de récompense contre des cartes-cadeaux.

La société exploite une plateforme en ligne qui permet aux propriétaires de modèles tels que Buick, GMC, Buick, Chevrolet et Cadillac de gérer facilement leurs services, leurs factures et d’échanger des points de récompense. Les propriétaires de cartes peuvent échanger leurs points de récompense GM contre des accessoires, des services automobiles, l’achat de plans de service OnStar, ainsi que contre des véhicules GM.

Selon GM, son équipe de sécurité a découvert l’activité de connexion malveillante entre le 11 et le 29 avril 2022. Dans certains cas, les hackers ont déjà utilisé les cartes-cadeaux pour échanger des points de récompense sur le portail de l’entreprise.

Dans une notification de violation de données envoyée aux clients concernés, la société a déclaré qu’elle faisait suite au mail précédent envoyé aux clients, les informant de l’incident de violation de données qui a utilisé leurs points de récompense sans leur autorisation. GM a déclaré qu’elle restituait tous les points de récompense concernés et que les clients n’avaient pas à s’inquiéter.

La violation a été causée par le credential stuffing

GM a également révélé que la violation n’était pas due à un piratage de l’entreprise, mais plutôt à une série d’attaques de credential stuffing ou de bourrage d’identifiant visant les clients de la plateforme.

Le credential stuffing est un type d’attaque très répandu dans lequel les acteurs de menaces collectent des noms d’utilisateur et des mots de passe sur des plateformes précédemment exposées pour tenter d’accéder au compte de l’utilisateur à partir d’autres sites web. La méthode est parfois couronnée de succès car certains utilisateurs ont le même mot de passe ou les mêmes détails de compte sur deux ou plusieurs plateformes. Une fois que l’une des plateformes est compromise, les hackers peuvent essayer les comptes exposés sur d’autres plateformes où le même utilisateur peut opérer.

« Sur la base de l’enquête menée à ce jour, rien ne prouve que les identifiants de connexion aient été obtenus auprès de GM elle-même », a expliqué GM dans une notification distincte adressée à ses clients. La société a ajouté que certaines personnes non autorisées ont pu accéder à des informations de connexion personnalisées qui avaient initialement été divulguées sur d’autres sites autres que celui de GM. Après avoir eu accès à ces données, ils ont réutilisé les informations d’identification sur le compte GM du client. Par conséquent, il a été conseillé aux clients de réinitialiser leur mot de passe avant de se connecter à leur compte.

Les données financières des clients ne sont pas incluses

Le rapport révèle que les acteurs de la menace ont accédé à certaines informations sur le site après avoir violé un compte GM. Il s’agit notamment d’informations personnelles telles que l’adresse du client, son adresse électronique personnelle, son nom et son prénom, sa photo de profil, ses informations de recherche et de destination, les avatars et les photos des membres de sa famille, le forfait OnStar auquel il est abonné, ainsi que le nom d’utilisateur et le numéro de téléphone d’un membre de sa famille inscrit et lié au compte.

En outre, les hackers pourraient être en mesure d’accéder à d’autres informations telles que les paramètres du hotspot Wi-Fi, les contacts d’urgence, l’historique des entretiens et le kilométrage de la voiture.

Toutefois, les comptes GM ne contiennent pas de numéro de sécurité sociale, de date de naissance du client, d’informations sur les cartes de crédit, de numéro de permis de conduire ou d’informations sur les comptes bancaires. Cela signifie que les informations concernant les détails financiers du client n’ont pas été compromises.

L’absence d’authentification à deux facteurs est signalée

Le portail en ligne de GM ne supporte pas l’authentification à deux facteurs, ce qui aurait empêché l’attaque de réussir sur la plupart des clients. Mais la plateforme offre une option permettant aux clients d’inclure un code PIN qu’ils doivent saisir pour tous les achats. Ceux qui utilisent cette option ont plus de chances d’être protégés que ceux qui ne l’ont pas fait.

L’attaque et l’exposition sont un autre exemple de l’importance de l’authentification à deux facteurs. Grâce à cette fonction de sécurité supplémentaire, l’attaquant aura plus de mal à accéder aux comptes des clients de GM puisqu’ils devront fournir une authentification supplémentaire pour le compte. Si de nombreuses plateformes proposent désormais une deuxième méthode d’authentification, certaines n’ont pas mis en place de telles mesures de sécurité sur leurs systèmes. Cela a exposé leurs clients aux risques d’une violation des données.

Le nombre exact de clients touchés par la récente violation n’est pas connu. Mais General Motors a noté qu’environ 5 000 clients ont été touchés en Californie, sur la base d’un échantillon de notification remis au bureau du procureur général de l’État.

En outre, General Motors a conseillé aux clients concernés d’obtenir des rapports de solvabilité auprès de leurs banques et de demander un gel de sécurité sur leurs comptes si nécessaire. L’avis contient également des instructions sur la façon d’obtenir le rapport de solvabilité et de placer un gel de sécurité.