De Britse tak van de Zuid-Afrikaanse restaurantketen Nando's is het doelwit van een credential stuffing-aanval geworden waarbij aanvallers door middel van hergebruikte wachtwoorden accounts van klanten konden overnemen. Vervolgens werden er op kosten van klanten grote bestellingen geplaatst. De schade zou in de duizenden ponden lopen.
De aanval vond afgelopen week plaats. Verschillende klanten lieten weten dat er met hun account was gefraudeerd. Onbekenden hadden de accounts overgenomen en telefoonnummers aangepast. Eén slachtoffer verklaarde dat er met zijn account voor in totaal 670 pond aan bestellingen was geplaatst. Nando's laat in een reactie tegenover The Daily Mirror weten dat de systemen van het bedrijf niet zijn gecompromitteerd.
"Helaas hebben derden de accounts van sommige Nando-klanten benaderd door middel van een techniek genaamd credential stuffing", aldus een verklaring van de restaurantketen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Nando's zegt dat het verdere investeringen gaat doen om de detectie en preventie van malafide activiteiten te voorkomen. Alle gedupeerde klanten krijgen hun geld terug.
Deze posting is gelocked. Reageren is niet meer mogelijk.