General Motors Alami Serangan Credential Stuffing, Data Pribadi Pemilik Mobil Terekspos

Cyberthreat.id - Pabrikan mobil Amerika Serikat General Motors (GM) mengungkapkan bahwa mereka adalah korban serangan hacker lewat metode menebak isian kredensial (credential stuffing) bulan lalu yang mengungkap beberapa informasi pelanggan dan memungkinkan peretas menukarkan poin hadiah dengan kartu hadiah.

General Motors mengoperasikan platform online untuk membantu pemilik kendaraan Chevrolet, Buick, GMC, dan Cadillac mengelola tagihan, layanan, dan menukarkan poin hadiah mereka.

Pemilik mobil dapat menukarkan poin hadiah GM untuk kendaraan GM, layanan mobil, aksesori, dan pembelian paket layanan OnStar.

GM mengungkapkan bahwa mereka mendeteksi aktivitas login berbahaya antara 11 April dan 29 April 2022, dan mengonfirmasi bahwa peretas menukarkan poin hadiah pelanggan dengan kartu hadiah dalam beberapa kasus.

"Kami menulis untuk menindaklanjuti email [TANGGAL] kami kepada Anda, memberi tahu Anda tentang insiden data yang melibatkan identifikasi penukaran poin hadiah Anda baru-baru ini yang tampaknya tanpa izin Anda," begitu antara lain bunyi  pemberitahuan pelanggaran data yang dikirim ke pelanggan yang terdampak seperti dilaporkan Bleeping Computer, 23 Mei 2022.

GM menyatakan mereka akan mengembalikan poin hadiah untuk semua pelanggan yang terkena dampak pelanggaran ini.

Namun, pelanggaran ini bukan karena General Motors diretas, melainkan disebabkan oleh gelombang serangan isian kredensial yang menargetkan pelanggan di platform mereka.

Serangan Credential Stuffing adalah ketika pelaku ancaman menggunakan kumpulan kombinasi nama pengguna/kata sandi yang bocor dalam pelanggaran data situs lain untuk mendapatkan akses ke akun pengguna di situs web.

“Berdasarkan penyelidikan hingga saat ini, tidak ada bukti bahwa informasi login itu diperoleh dari GM sendiri,” kata pemberitahuan pelanggaran data berbeda dari GM

"Kami percaya bahwa pihak yang tidak berwenang memperoleh akses ke kredensial login pelanggan yang sebelumnya dikompromikan di situs non-GM lain dan kemudian menggunakan kembali kredensial tersebut di akun GM pelanggan."

GM mengharuskan pengguna yang terdampak untuk mengatur ulang kata sandi mereka sebelum masuk ke akunnya lagi.

Informasi pribadi terekspos

Ketika peretas berhasil membobol akun GM, mereka dapat mengakses informasi tertentu yang tersimpan di situs tersebut. Informasi ini mencakup detail pribadi berikut:

• Nama pertama dan terakhir,
• Alamat email pribadi,
•  Alamat pribadi,
•  Nama pengguna dan nomor telepon untuk anggota keluarga terdaftar yang terkait dengan akun,
• Informasi lokasi favorit yang terakhir diketahui dan disimpan,
• Paket OnStar yang saat ini berlangganan (jika ada),
• Avatar dan foto anggota keluarga (jika diunggah),
• Foto profil,
• Pencarian dan informasi tujuan.

Informasi lain yang tersedia bagi peretas ketika mereka melanggar akun GM adalah riwayat jarak tempuh mobil, riwayat layanan, kontak darurat, pengaturan hotspot Wi-Fi (termasuk kata sandi), dan banyak lagi.

Namun, akun GM tidak menyimpan tanggal lahir, nomor Jaminan Sosial, nomor SIM, informasi kartu kredit, atau informasi rekening bank, sehingga informasi tersebut tidak dikompromikan.

Selain mengatur ulang kata sandi, General Motors juga menyarankan individu yang terkena dampak untuk meminta laporan kredit dari bank mereka dan membekukan keamanan jika diperlukan. Petunjuk tentang cara melakukan keduanya terlampir dalam pemberitahuan.

Sayangnya, situs online GM tidak mendukung otentikasi dua faktor, yang akan mencegah serangan credential stuffing berhasil. Namun, dimungkinkan untuk menambahkan PIN yang harus digunakan pelanggan untuk semua pembelian.[]