通用汽车遭撞库攻击被暴露车主个人信息

近期 ，通用通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，汽车经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡 ，遭撞针对此次事件
，库攻通用汽车也及时给受影响的击被客服发邮件并告知客户 。为了弥补客户所受损失，暴露通用汽车表示
，车主他们将为所有受此事件影响的个人客户恢复奖励积分
。但根据调查，信息这些违规行为并不是通用通用汽车被黑客入侵的结果
，而是汽车由针对其平台上的模板下载客户的一波撞库攻击引起的。

撞库是遭撞指黑客通过收集网上已泄露的用户和密码信息
，生成对应的库攻字典表，并尝试批量登陆其他网站后，击被得到一系列可以登录的暴露用户。经后续的调查 ，通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的服务器租用，“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限，然后在客户的通用汽车账户上重复使用这些凭证
。”对此通用汽车要求受影响的用户 在再次登录他们的帐户之前重置他们的密码 。

个人信息暴露

当黑客成功入侵用户的通用汽车帐户后，他们可以访问存储在该网站上的某些信息。云计算此信息包括以下个人详细信息
：

名字和姓氏，个人电子邮件地址，个人地址  ，与帐户绑定的注册家庭成员的用户名和电话号码 ，最后已知和保存的最喜欢的位置信息  ，当前订阅的 OnStar 套餐(如果适用)，家庭成员的头像和照片(如果已上传)，个人资料图片，搜索和目的香港云服务器地信息。

黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史 、紧急联系人、Wi-Fi 热点设置(包括密码)等。但帐户里不包含出生日期、社会安全号码 、驾驶执照号码、信用卡信息或银行帐户信息，因此这些信息没有被泄露 。

除了重置密码外，通用汽车还建议受影响的用户向银行索取信用报告，如有必要还可进行账户安全冻结。高防服务器不幸的是
，通用汽车的在线站点不支持双重身份验证，所以其网站无法阻止撞库攻击 。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是源码下载略低于5,000家。

参考来源：https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/