ملخص

  • جعل إشعار حشو بيانات الاعتماد من NortonLifeLock نمطًا شائعًا من إساءة استخدام الحساب أكثر خطورة لأن الخدمة المستهدفة كانت ضمن علامة تجارية للأمان الاستهلاكي وحماية الهوية.
  • وصفت التقارير العامة المستندة إلى الإشعارات محاولات تسجيل الدخول إلى حسابات Norton، وإعادة تعيين كلمات المرور، واحتمال تعرض بيانات الحساب، وزيادة القلق بين مستخدمي Norton Password Manager.
  • حشو بيانات الاعتماد ليس مثل اختراق قاعدة البيانات المباشر، لكن سؤال المسؤولية التشغيلية يبقى: من الذي سيطر على الكشف، والإبطاء، والتحقق من كلمات المرور المخترقة، ومطالبات المصادقة متعددة العوامل (MFA)، وإشعار الطوارئ للعملاء، وتعليمات الاسترداد؟
  • نقل الحدث العمل إلى المستهلكين. كان على العملاء تغيير كلمات المرور الخاصة بهم، وتفعيل مصادقة أقوى، والتحقق من إدخالات مدير كلمات المرور، ومراقبة الاحتيال، وفهم ما إذا كانت بيانات الاعتماد المعاد استخدامها يمكن أن تؤثر على حسابات أخرى.
  • يجب أن يُظهر ملف الإصلاح ذو المصداقية ليس فقط أن Norton قام بحظر الحسابات أو إعادة تعيينها، ولكن أن Gen Digital قللت من الاحتكاك في إجراءات العملاء، وقاست اعتماد MFA، وحسّنت كشف الحالات الشاذة، وجعلت من الصعب تحويل خطر إعادة الاستخدام إلى ضرر للخزنة أو الهوية.

كلمة مرور معاد استخدامها تصبح مشكلة مسؤولية لمزود الأمان

غالبًا ما يُوصف حشو بيانات الاعتماد على أنه فشل من جانب العميل. يقوم المستخدم بإعادة استخدام كلمة مرور. يحصل المجرمون على بيانات الاعتماد هذه من اختراق آخر. تحاول أدوات آلية نفس عنوان البريد الإلكتروني ونفس كلمة المرور على العديد من الخدمات. تقبل إحدى الخدمات ذلك. قد يقول المزود أن بيانات الاعتماد لم تأت من قاعدة بياناته الخاصة. قد يكون هذا الادعاء صحيحًا. لكنه غير مكتمل عندما تكون الخدمة المستهدفة حساب أمان استهلاكي.

قضية NortonLifeLock مهمة لأن العملاء لا يعيشون الحادث كتصنيف مجرد للمصادقة. إنهم يعيشونه كتحذير من شركة تبيع علاماتها التجارية أمان الحسابات، وحماية الهوية، ومكافحة الفيروسات، وشبكة VPN، وأدوات الخصوصية، وإدارة كلمات المرور. تصف Gen Digital محفظة علاماتها التجارية علىصفحة علامات الشركة، بما في ذلك Norton و LifeLock. هذا السياق للعلامة التجارية يرفع مستوى المسؤولية. مزود الأمان ليس مسؤولاً عن كل كلمة مرور معاد استخدامها على الإنترنت، لكنه مسؤول عن الطريقة التي يقلل بها نظام تسجيل الدخول الخاص به، واتصالاته مع العملاء، وإعداداته الافتراضية من احتمالية أن تصبح بيانات الاعتماد المعاد استخدامها اختراقًا للحساب.