PcComponentes ร้านค้าปลีกออนไลน์ปฏิเสธการอ้างสิทธิ์การละเมิดข้อมูล

PcComponentes ผู้ค้าปลีกเทคโนโลยีรายใหญ่ในสเปน ได้ปฏิเสธการอ้างสิทธิ์การละเมิดข้อมูลในระบบของตนที่ส่งผลกระทบต่อลูกค้า 16 ล้านราย แต่ยืนยันว่าประสบกับการโจมตีแบบ Credential Stuffing การโจมตีดังกล่าวใช้ข้อมูลล็อกอินที่ขโมยมาจากที่อื่น ทำให้ข้อมูลส่วนบุคคลของลูกค้าบางส่วนรั่วไหลออกมา ซึ่งรวมถึงชื่อ-นามสกุล, หมายเลขประจำตัวประชาชน, ที่อยู่จริง, ที่อยู่ IP, อีเมล และหมายเลขโทรศัพท์ เพื่อตอบโต้ บริษัทได้เปิดใช้งาน 2FA บังคับ, CAPTCHA และยกเลิกเซสชันที่ใช้งานอยู่ทั้งหมด

Severity: ปานกลาง

System Impact:

• แพลตฟอร์มอีคอมเมิร์ซ PcComponentes
• บัญชีลูกค้าที่ได้รับผลกระทบจากการโจมตีแบบ Credential Stuffing
• ระบบ Customer Support ของ Zendesk (ข้อมูลการสนทนาของลูกค้าถูกอ้างว่ารั่วไหล)

Technical Attack Steps:

1. ผู้โจมตีได้รับข้อมูลล็อกอิน (อีเมลและรหัสผ่าน) จากการละเมิดข้อมูลอื่นๆ หรือบันทึกจากมัลแวร์ขโมยข้อมูล
2. พวกเขาทำการโจมตีแบบ Credential Stuffing อัตโนมัติบนแพลตฟอร์มของ PcComponentes โดยพยายามเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ถูกขโมยมาเหล่านี้
3. บัญชีลูกค้าจำนวน ‘เล็กน้อย’ ถูกบุกรุกสำเร็จด้วยวิธีนี้
4. ข้อมูลที่รั่วไหลจากบัญชีที่ถูกบุกรุกเหล่านี้ ได้แก่ ชื่อ-นามสกุล, หมายเลขประจำตัวประชาชน, ที่อยู่จริง, ที่อยู่ IP, ที่อยู่อีเมล และหมายเลขโทรศัพท์
5. ผู้โจมตีชื่อ ‘daghetiaw’ อ้างว่าได้ขโมยฐานข้อมูลลูกค้า 16.3 ล้านรายการ และเผยแพร่ตัวอย่าง 500,000 รายการ ซึ่งทาง PcComponentes ปฏิเสธในเรื่องของขนาดการละเมิดระบบเต็มรูปแบบ

Recommendations:

Short Term:

• PcComponentes ได้นำ CAPTCHA มาใช้บนหน้าเข้าสู่ระบบ
• เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA) เป็นข้อบังคับสำหรับบัญชีทั้งหมด
• ยกเลิกเซสชันที่ใช้งานอยู่ทั้งหมด ทำให้ผู้ใช้ต้องเข้าสู่ระบบใหม่

Long Term:

• ลูกค้าควรใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับแต่ละบัญชี
• ลูกค้าควรจัดเก็บรหัสผ่านในโปรแกรมจัดการรหัสผ่าน (Password Manager)
• ลูกค้าควรระมัดระวังข้อความฟิชชิ่งที่อาจเกิดขึ้น

Source: https://www.bleepingcomputer.com/news/security/online-retailer-pccomponentes-says-data-breach-claims-are-fake/