NEW YORK – New Yorkin oikeusministeri Letitia James julkisti tänään laajan "valtuustietojen täyttämistä" koskevan tutkimuksen tulokset. Tutkimuksessa löydettiin yli 1,1 miljoonaa verkkotiliä, jotka olivat vaarantuneet 17 tunnetun yrityksen kyberhyökkäyksissä. Oikeusministeri James julkaisi "Business Guide for Credential Stuffing Attacks", jossa kerrotaan yksityiskohtaisesti hyökkäyksistä - joihin liittyy toistuvia, automaattisia yrityksiä päästä verkkotileille muista verkkopalveluista varastetuilla käyttäjätunnuksilla ja salasanoilla - ja kuinka yritykset voivat suojautua. Tunnusten täyttämisestä on nopeasti tullut yksi suosituimmista hyökkäysvektoreista verkossa. Lähes jokainen verkkosivusto ja sovellus käyttää salasanoja käyttäjiensä todentamiseen. Valitettavasti käyttäjät käyttävät usein samoja salasanoja useissa verkkopalveluissa. Näin verkkorikolliset voivat käyttää yhdeltä yritykseltä varastettuja salasanoja muille verkkotileille. Hyökkäysten havaitsemisen jälkeen OAG (Office of Attorney General) varoitti asianomaisia yrityksiä, jotta salasanat voitaisiin nollata ja kuluttajat voidaan ilmoittaa. Tämän päivän opas jakaa OAG:n tutkimuksen aikana opittuja kokemuksia, mukaan lukien konkreettisia ohjeita toimenpiteistä, joita yritykset voivat ryhtyä suojautuakseen paremmin valtuustietojen täyttämishyökkäyksiltä.
"Tällä hetkellä Internetissä liikkuu yli 15 miljardia varastettua valtakirjaa, koska käyttäjien henkilökohtaiset tiedot ovat vaarassa", sanoi oikeusministeri James. "Yrityksillä on velvollisuus ryhtyä asianmukaisiin toimenpiteisiin asiakkaidensa verkkotilien suojaamiseksi, ja tässä oppaassa esitetään kriittisiä suojakeinoja, joita yritykset voivat käyttää taistellakseen tunnuksien täyttämistä vastaan. Meidän on tehtävä kaikkemme suojellaksemme kuluttajien henkilökohtaisia tietoja ja heidän yksityisyyttään."
Mitä on valtuustietojen täyttäminen?
Tunnistetietojen täyttäminen on eräänlainen kyberhyökkäys, jossa yritetään kirjautua sisään online-tileille käyttämällä käyttäjänimeä ja salasanoja, jotka on varastettu muista, asiaankuulumattomista verkkopalveluista. Se perustuu laajalle levinneeseen salasanojen uudelleenkäytön käytäntöön, koska on mahdollista, että yhdellä verkkosivustolla käytettyä salasanaa käytettiin myös toisella.
Tyypillisessä tunnistetietojen täyttämishyökkäyksessä hyökkääjä voi lähettää satoja tuhansia tai jopa miljoonia kirjautumisyrityksiä käyttämällä automaattista tunnistetietojen täyttämisohjelmistoa ja luetteloita varastetuista tunnistetiedoista, jotka on ladattu pimeästä verkosta tai hakkerointifoorumeista. Vaikka vain pieni osa näistä yrityksistä onnistuu, pelkän kirjautumisyritysten määrän ansiosta yksi hyökkäys voi kuitenkin tuottaa tuhansia vaarantuneita tilejä.
Hyökkääjä, joka saa tilin käyttöoikeuden, voi käyttää sitä monella eri tavalla. Hyökkääjä voi esimerkiksi tarkastella tiliin liittyviä henkilökohtaisia tietoja, kuten nimeä, osoitetta ja aiempia ostoksia, ja käyttää näitä tietoja tietojenkalasteluhyökkäyksessä. Jos tilillä on tallennettu luotto- tai lahjakortti, hyökkääjä saattaa pystyä tekemään vilpillisiä ostoksia. Tai hyökkääjä voi yksinkertaisesti myydä kirjautumistiedot toiselle henkilölle pimeässä verkossa.
Kuntotietojen täyttäminen on yksi yleisimmistä kyberhyökkäyksen muodoista. Yhden suuren sisällönjakeluverkon operaattori kertoi nähneensä yli 193 miljardia tällaista hyökkäystä pelkästään vuonna 2020.
OAG:n tutkimus
Valtuustietojen täyttämisen kasvavan uhan vuoksi OAG käynnisti tutkimuksen tunnistaakseen yritykset ja kuluttajat, joihin tämä hyökkäysvektori vaikuttaa. Useiden kuukausien ajan OAG seurasi useita verkkoyhteisöjä, jotka olivat omistautuneet valtuustietojen täyttämiseen. OAG löysi tuhansia viestejä, jotka sisälsivät asiakkaiden kirjautumistunnuksia, joita hyökkääjät olivat testanneet tunnistetietojen täyttämishyökkäyksessä ja vahvistivat, että niitä voitiin käyttää asiakastileihin pääsyyn verkkosivustoilla tai sovelluksissa. Näistä viesteistä OAG kokosi valtuustiedot vaarantuneille tileille 17 tunnetussa verkkokaupassa, ravintolaketjussa ja ruoan toimituspalvelussa. Kaiken kaikkiaan OAG keräsi tunnistetietoja yli 1,1 miljoonalta asiakastililtä, jotka kaikki näyttivät vaarantuneen tunnistetietojen täyttämishyökkäyksissä.
OAG varoitti jokaiselle 17 yrityksestä vaarantuneista tileistä ja kehotti yrityksiä tutkimaan asiaa ja ryhtymään välittömiin toimenpiteisiin asiakkaiden suojelemiseksi. Jokainen yritys teki niin. Yritysten tutkimukset paljastivat, että suurinta osaa hyökkäyksistä ei ollut aiemmin havaittu.
OAG työskenteli myös yritysten kanssa selvittääkseen, kuinka hyökkääjät olivat kiertäneet olemassa olevia suojatoimia, ja antoivat suosituksia heidän tietoturvaohjelmiensa vahvistamiseksi asiakkaiden tilien turvaamiseksi paremmin tulevaisuudessa. OAG:n tutkimuksen aikana lähes kaikki yritykset ottivat käyttöön tai aikoivat ottaa käyttöön lisäsuojatoimia.
OAG:n suositukset
Kirjautumistietojen täyttämisestä tehdyistä hyökkäyksistä on tullut niin yleisiä, että ne ovat useimmille yrityksille väistämättömiä. Jokaisella online-asiakastilejä ylläpitävällä yrityksellä tulisi siksi olla tietoturvaohjelma, joka sisältää tehokkaat suojatoimenpiteet asiakkaiden suojaamiseksi tunnistetietojen täyttämishyökkäyksiltä. Suojatoimia olisi toteutettava kullakin neljällä alueella:
- Puolustaminen valtuustietojen täyttämishyökkäyksiä vastaan,
- tunnistetietojen täyttämisen rikkomisen havaitseminen,
- petosten ja asiakastietojen väärinkäytön estäminen ja
- vastaaminen valtakirjan täyttämisen tapaus.
Syyttäjä Jamesin opas esittelee erityisiä suojatoimia, joiden on todettu olevan tehokkaita kaikilla näillä alueilla. Jotkut oppaan kohokohdat sisältävät seuraavat:
Tämän asian käsittelivät vanhempi lainvalvontalakimies Jordan Adler, apulaisoikeusministeri Hanna Baek, Internet- ja teknologiaanalyytikko Joe Graham ja lakimies Richard Borgia – kaikki Internet- ja teknologiatoimistosta apulaistoimistopäällikön Clarkin valvonnassa. Russell ja toimistopäällikkö Kim Berger. Bureau of Internet and Technology on osa Division for Economic Justice -osastoa, jota valvoo apulaisoikeusministeri Chris D’Angelo ja ensimmäinen varajäsen Jennifer Levy.