汽车制造商通用汽车公司已确认其上个月遭受的撞库攻击暴露了客户的姓名、个人电子邮件地址和目的地数据，以及与客户账户相关的家庭成员的用户名和电话号码。

卡车在通用汽车位于印第安纳州韦恩堡的雪佛兰 Silverado 和 GMC Sierra 皮卡车工厂下线

通用汽车官员在本月发给客户的一封信[PDF]中表示，其他更多的个人信息，包括社会保障、信用卡和银行帐号，以及驾驶执照数据并未存储在客户的通用汽车账户中，也没有被暴露。.

根据这封信，在 4 月 11 日至 4 月 29 日的 18 天内，该公司检测到对一些通用汽车在线客户账户的可疑登录，发现攻击者已将客户奖励积分兑换为礼品卡。通过通用汽车在线平台，雪佛兰和别克等汽车品牌的车主可以管理他们的付款和服务，同时建立和兑换奖励积分。

发现攻击后，通用汽车暂停了账户网站上的奖励功能，并通知受此问题影响的客户，告诉他们需要重置密码才能重新访问他们的在线客户账户。该公司向执法机构报告了违规行为。

通用汽车还在为受影响的客户恢复奖励积分。

公司官员在信中表示，登录信息不是从通用汽车本身窃取的。相反，该公司是撞库攻击的受害者，网络犯罪分子使用从一个网站窃取的用户名和密码，并试图使用它们登录其他网站。其中一些攻击使用僵尸网络来扩展登录尝试的次数。

如果成功，攻击者可以使用凭据进行各种活动，例如使用信用卡数据进行购买、窃取客户帐户中保存的礼品卡、使用该信息进行网络钓鱼攻击或将登录信息和个人数据出售给其他不良行为者.

关于 GM 攻击的消息发布的同一周，在线婚礼策划网站 Zola 承认它也是撞库攻击的受害者，一些客户抱怨与该网站关联的银行账户被用来购买礼品卡。

1 月，纽约总检察长 Letitia James 发布了一份对该州进行了长达数月的撞库诈骗调查的报告，发现该州 17 家公司超过 110 万个在线账户的凭证——包括零售商、连锁餐厅和食品配送服务——被妥协了。

撞库攻击进一步推动了公司将密码作为保护在线帐户的主要用户身份验证方法的需求，批评者称它们太容易被破解，并且敏感的客户数据容易被暴露和被盗。

网络安全公司 Cerberus Sentinel 解决方案架构副总裁 Chris Clements 告诉The Register： “我们早已超越了多因素身份验证应该成为任何用户帐户的默认选项的地步，尤其是对于允许客户选择密码的公共网站。”在一封电子邮件中。

“即使是密码复杂性要求也不足以有效打击凭证填充，因为用户经常在多个服务中重复使用相同的密码。如果密码在许多地方重复使用并从第三方窃取，那么密码的长度或复杂程度都无关紧要。 "

Clements 说，提供在线客户账户的组织默认应支持更安全的账户保护机制，包括多因素身份验证 (MFA) 或 FIDO 联盟制定的标准。

“违约很重要，”他补充道。“大多数用户不会偏离初始帐户设置过程，除非他们有充分的理由。默认为所有用户帐户启用 MFA 可能会增加用户入职的额外步骤，但它带来的额外安全保护确实是一个日日夜夜不同之处。”

网络安全供应商 PerimeterX 新兴产品副总裁 Uriel Maimon 在一封电子邮件中告诉The Register，对 GM 和 Zola 的攻击表明，撞库攻击“继续助长网络攻击生命周期，可能会在其他电子设备上使用这些被盗的用户凭据。 “

“应用程序提供商和网站所有者有责任让网络犯罪分子使用这些信息来破坏攻击周期变得困难和昂贵，”迈蒙说。“这意味着在消费者的数字旅程中，停止盗窃、验证和欺诈性使用账户和身份信息的行为。”

他指出，2021 年总登录次数中的恶意登录尝试有所增加，在 8 月份达到所有登录尝试的 93.8%，比 2020 年的峰值增加了 8%。

通用汽车官员在他们的信中建议，除了重置通用汽车密码外，客户不应为不同的帐户使用相同的密码，并更新任何重复的密码。此外，他们还向客户提供了保护个人信息的最佳实践清单，以及联邦贸易委员会关于保护身份、发出欺诈警报或对信用档案进行安全冻结的建议。

他们还可以在信用卡上设置初始或扩展欺诈警报。