Компания General Motors сообщила, что стала жертвой хакерской атаки, в результате которой злоумышленники смогли похитить данные множества клиентов. Компания начисляет владельцам автомобилей брендов Chevrolet, Buick, GMC и Cadillac бонусные баллы и поддерживает онлайн-платформу, с помощью которой ими можно управлять, используя для покупки новых машин, запчастей и аксессуаров, прохождения техосмотра в официальных сервисных центрах GM и т.д. Именно эта платформа и подверглась атаке.

В период с 11 под 29 апреля нынешнего года специалисты компании зафиксировали резкий всплеск активности по приобретению подарочных карт General Motors за бонусные баллы. Последующая проверка установила, что транзакции были неавторизованными. При этом компания утверждает, что ее системы не были взломаны. Хакеры использовали так называемую технику credential stuffing – подстановку логинов и паролей, ставших доступными ранее в результате утечек на сторонних ресурсов. Поскольку многие пользователи продолжают использовать одни и те же логины и пароли на множестве сайтов, этот весьма старый хакерский прием по-прежнему остается вполне эффективным. В данном случае на руку киберпреступникам сыграло и то, что платформа General Motors не поддерживает опцию двухфакторной аутентификации.

В руках злоумышленников оказались имена и адреса электронной почты клиентов GM, их адреса проживания и номера телефонов, а также все эти данные, касающиеся членов их семей, «привязанных» к тому же аккаунту. В то же время хакеры не смогли получить доступ к датам рождения клиентов, их номерам социального страхования и водительских удостоверений и данным банковских карт и счетов, поскольку эти сведения не хранились в системе. Компания пообещала, что восстановит бонусные баллы всем клиентам, пострадавшим от атаки. Их число в настоящее время неизвестно, но может оказаться весьма значительным: только в штате Калифорния количество жертв утечки составляет около 5 тысяч.