A gigante do varejo de animais de estimação, PetSmart, está alertando alguns clientes de que suas senhas foram redefinidas devido a um ataque contínuo de preenchimento de credenciais (credential stuffing) tentando violar contas.
A PetSmart é a maior varejista nos EUA, focada em animais de estimação e produtos associados, com mais de 60 milhões de clientes e 1.600 lojas em todo o país.
Em novas notificações de email enviadas aos clientes da PetSmart, primeiramente vistas pela DarkWebInformer, a empresa adverte que os clientes estão sendo alvo de ataques de preenchimento de credenciais usados para ganhar acesso às suas contas.
A PetSmart redefiniu as senhas de quaisquer contas acessadas durante os ataques de preenchimento de credenciais para estar segura, pois não podia determinar se o usuário logado era o proprietário da conta ou os hackers.
"Queremos assegurar-lhe que não há indicação de que o petsmart.com ou qualquer um de nossos sistemas tenham sido comprometidos", lê-se o alerta de e-mail da PetSmart.
"Em vez disso, nossas ferramentas de segurança observaram um aumento nos ataques de adivinhação de senhas no petsmart.com, e durante esse tempo sua conta foi acessada.
Embora o login possa ter sido válido, queríamos que você soubesse."
"Por um excesso de cautela para proteger você e sua conta, desativamos sua senha no petsmart.com.
Na próxima vez que você visitar o petsmart.com, basta clicar no link "esqueci a senha" para redefinir sua senha."
Um ataque de preenchimento de credenciais acontece quando atores de ameaça coletam credenciais de login expostas em violações de dados e depois usam essas credenciais para tentar fazer login em outros sites.
Uma vez que a ameaça consegue violar com sucesso uma conta, elas são usadas para comportamento malicioso, incluindo fazer compras fraudulentas, enviar spam ou iniciar outros ataques.
Mais comumente, os atores de ameaças vendem as contas violadas para outros, que as usam para fazer compras, trocar por pontos de recompensa ou roubar dinheiro.
Outras empresas atingidas no passado por ataques de preenchimento de credenciais incluem PayPal, Spotify, Xfinity e Chick-fil-A, e com perdas mais danosas, FanDuel e DraftKings.
Em maio de 2023, um jovem de 18 anos foi acusado de hackear 60.000 contas de apostas DraftKings e vendê-las em um mercado de contas roubadas chamado Goat Shop.
Enquanto DraftKings inicialmente afirmou que apenas $ 300.000 foram roubados através dos ataques, o Departamento de Justiça mais tarde revelou que $ 600.000 foram roubados de 1.600 contas comprometidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...