Dailymotion บังคับผู้ใช้รีเซ็ตรหัสผ่าน หลังถูกโจมตีแบบ Credential Stuffing
Dailymotion แพลทฟอร์มสำหรับแชร์วิดีโอชื่อดังออกประกาศแจ้งเตือนผู้ใช้และสั่งให้รีเซ็ตรหัสผ่านใหม่ หลังพบว่ามีบาง Account ถูกโจมตีแบบ Credential Stuffing เพื่อเข้าถึงข้อมูลของผู้ใช้โดยไม่ได้รับอนุญาต
Credential Stuffing Attack เป็นรูปแบบหนึ่งของการโจมตีแบบ Brute Force โดยแฮ็กเกอร์จะนำข้อมูลล็อกอินที่ได้จากเหตุ Data Breach อื่นที่เคยเกิดขึ้นมาแล้ว เช่น Collection #1 ที่ประกอบด้วยอีเมลและรหัสผ่านกว่า 773 ล้านรายการ มาทำการ “คาดเดา” ล็อกอินของเป้าหมาย เนื่องจากผู้ใช้ส่วนใหญ่มักใช้ข้อมูลล็อกอินซ้ำๆ กัน
Dailymotion ระบุว่า การโจมตีดังกล่าวเริ่มขึ้นเมื่อวันที่ 19 มกราคมที่ผ่านมา ซึ่งทีมรักษาความมั่นคงปลอดภัยของ Dailymotion ก็ได้ตรวจพบและพยายามหยุดยั้งการโจมตี แต่หลังจากผ่านไป 6 วัน การโจมตียังคงดำเนินต่อไป จนในที่สุด Dailymotion เริ่มบังคับให้ผู้ใช้บางรายทำการล็อกเอาต์และแจ้งให้รีเซ็ตรหัสผ่านใหม่ พร้อมทั้งส่งอีเมลแจ้งเตือนไปยังผู้ใช้ที่คาดว่าได้รับผลกระทบรวมไปถึงลิงค์สำหรับรีเซ็ตรหัสผ่าน
ทางบริษัทฯ ได้รายงานเหตุการณ์ที่เกิดขึ้นไปยัง French Data Protection Authority (CNIL) ตามข้อบังคบของกฎหมาย GDPR อีกด้วย พร้อมทั้งแนะนำให้ผู้ใช้ตั้งค่ารหัสผ่านให้แตกต่างกันในแต่ละระบบออนไลน์ รวมไปถึงเปิดใช้งาน 2-factor Authentications เพื่อป้องกันการโจมตีแบบ Credential Stuffing อีกด้วย