要約
- NortonLifeLock のクレデンシャルスタッフィング通知は、標的となったサービスが消費者向けセキュリティおよびアイデンティティ保護ブランド内にあったため、一般的なアカウント悪用パターンをより深刻なものにしました。
- 通知に基づく公開報道では、Norton アカウントへのログイン試行、パスワードリセット、アカウントデータの潜在的な露出、および Norton Password Manager ユーザーへの懸念の高まりが報告されました。
- クレデンシャルスタッフィングは直接的なデータベース侵害とは異なりますが、運用上の説明責任の問題は残ります。検出、スロットル、侵害パスワードチェック、多要素認証(MFA)プロンプト、緊急顧客通知、復旧手順を誰が管理していたのか?
- このイベントは消費者に作業を転嫁しました。顧客はパスワード変更、強力な認証の有効化、パスワードマネージャのエントリ確認、不正行為の監視、再利用された認証情報が他のアカウントに影響するかどうかの理解を行う必要がありました。
- 信頼できる修復記録は、Norton がアカウントをブロックまたはリセットしただけでなく、Gen Digital が顧客の行動負担を軽減し、MFA 採用を測定し、異常検知を改善し、再利用リスクがボールトやアイデンティティへの害に変換される可能性を低くしたことを示すべきです。
再利用されたパスワードがセキュリティベンダーの説明責任問題に
クレデンシャルスタッフィングはしばしば顧客の失敗として説明されます。ユーザーがパスワードを再利用します。犯罪者は他の侵害からその認証情報を入手します。自動化ツールが同じメールアドレスとパスワードを多数のサービスで試行します。そのうちの1つのサービスがそれを受け入れます。ベンダーは認証情報が自社のデータベースから取得されたものではないと言えます。その記述は正確かもしれません。しかし、標的となったサービスが消費者向けセキュリティアカウントである場合、それは不完全です。
この記事の翻訳は続きます。

