Norton LifeLock müşterileri, bir kimlik bilgisi doldurma saldırısının kurbanı oldu. Şirket, siber saldırganların Norton hesaplarına ve muhtemelen parola yöneticilerine girmeye çalışmak için çalınan kullanıcı adı ve parola kombinasyonlarından oluşan üçüncü taraf bir liste kullandığını söylüyor.
LifeLock markasının sahibi Gen Digital, müşterilerine veri ihlali bildirimleri gönderiyor ve IDS sistemlerinin Norton hesaplarında “alışılmadık derecede yüksek sayıda başarısız oturum açma” işaretini aldığı 12 Aralık’ta etkinliği fark ettiğini belirtiyor. Şirket, 10 günlük bir soruşturmanın ardından faaliyetin 1 Aralık’a kadar uzandığını söyledi.
Gen Digital kaç hesabın ele geçirildiğini söylemese de müşterileri, saldırganların başarılı oldukları tüm Norton hesaplarından isimlere, telefon numaralarına ve posta adreslerine erişebildikleri konusunda uyardı.
Ve ekledi, “yetkisiz üçüncü tarafın da saklanan bilgileri elde ettiğini göz ardı edemeyiz. [in the Norton Password Manager]özellikle de Parola Yöneticisi anahtarınız Norton hesabınızın parolasıyla aynı veya çok benzerse.”
Bu “ayrıntılar” elbette, kurbanın kurumsal oturum açma bilgileri, çevrimiçi bankacılık, vergi beyannamesi, mesajlaşma uygulamaları, e-ticaret siteleri ve daha fazlası dahil olmak üzere kullandığı tüm çevrimiçi hizmetler için oluşturulan güçlü parolalardır.
Parola Yeniden Kullanımı Parola Yönetimini Alt Üst Eder
Kimlik bilgisi doldurma saldırılarında, tehdit aktörleri, kullanıcıların e-posta adreslerini ve parolalarını birden fazla hizmette yeniden kullandıklarını umarak, yeni hesapları denemek için başka bir kaynaktan (örneğin, Dark Web’de kırılmış hesap bilgilerini satın alarak) elde edilen oturum açma listesini kullanır.
Bu nedenle, Norton olayının ironisi, KnowBe4’te veriye dayalı savunma savunucusu Roger Grimes’ın gözünden kaçmadı.
“Bildirilen gerçekleri anladıysam, ironi şu ki, mağdur olan kullanıcılar Norton oturum açma hesaplarında güçlü parolalar oluşturmak için ilgili parola yöneticilerini kullansalardı muhtemelen korunmuş olacaklardı,” dedi e-posta yoluyla. “Parola yöneticileri, temelde tahmin edilemeyen ve kırılamayan güçlü, tamamen rastgele parolalar oluşturur. Buradaki saldırı, kullanıcıların Norton parola yöneticilerini de koruyan Norton oturum açma hesaplarını korumak için kendi oluşturdukları ve zayıf parolalar kullandıkları gibi görünüyor.”
Saldırganlar son zamanlarda kimlik ve erişim yönetimi sistemlerini hedef olarak belirlediler, çünkü bir uzlaşmanın saldırganlar için yüksek değerli hesaplarda gerçek bir veri hazinesinin kilidini açabileceği ve ağların derinliklerine inmek için çok sayıda kurumsal pivot noktasından bahsetmeye bile gerek yok.
Örneğin, LastPass, Ağustos 2022’de, siber saldırganların kaynak kodu ve müşteri verileriyle kaçmak için geliştirme ortamını ihlal edebildiği bir kimliğe bürünme saldırısıyla hedef alındı. Geçen ay şirket, kullandığı bir bulut depolama kovasına bir müteakip saldırı yaşadı.
Ve geçtiğimiz Mart ayında Okta, siber saldırganların diğer şeylerin yanı sıra müşterileri yönetmek için bir Okta arka uç yönetim paneline erişim elde etmek için üçüncü taraf bir müşteri destek mühendisinin sistemini kullandıklarını ortaya çıkardı. Yaklaşık 366 müşteri etkilendi ve iki gerçek veri ihlali meydana geldi.