行业新闻与博客

在一些账户被未经授权的第三方入侵后，英国超市巨头乐购（Tesco）正在向 600,000 名顾客提供新的会员卡。

尽管 Tesco 自己的 IT 系统并未受到威胁，但据认为，黑客使用了从其他地方获取的用户名和密码泄露的组合列表，并进行了蛮力攻击。

该超市还向顾客保证，没有采取任何财务细节。

乐购（Tesco）发言人告诉英国广播公司（BBC）： “我们意识到，赎回一部分客户的 Clubcard 代金券存在欺诈行为。”

“我们的内部系统很快就注意到了这一点，我们立即采取措施保护客户并限制对他们帐户的访问。”

RSA Security 英国和爱尔兰区域总监 Chris Miller 认为，凭证填充攻击是造成数据丢失的最大原因之一。

“从最终用户的角度来看，重要的是不要对多个帐户使用相同的密码，尤其是在工作帐户和个人帐户之间。如果发生了这样的数据泄露事件，涉及到与其有帐户的公司，则他们不仅需要更改该帐户的密码，还需要更改使用该帐户的任何其他帐户的密码。”

“毕竟，如果攻击者试图使用被盗的凭据登录 Tesco Clubcard，那么他们很可能也会在其他站点上尝试使用凭据。最后，某些站点和应用程序将提供两阶段身份验证，要求输入密码以及例如传递给手机的代码。勾选此选项是个好主意，因为它可以提供额外的安全性。”

根据 Akamai 的数据，从 2018年5月到 12月，对电子商务帐户进行了 280 亿次凭据填充攻击，每天尝试登录 1.15 亿次。

本文由机器译制:https://www.infosecurity-magazine.com/news/tesco-issues-clubcards-600k-brute/