.
A empresa ferroviária norte-americana Amtrak está escrevendo aos usuários de seu programa Guest Rewards para informá-los de que seus dados estão potencialmente em risco após um descarrilamento na segurança de suas contas.
O ataque de três dias ocorreu entre 15 e 18 de maio. Os malfeitores estavam invadindo contas usando credenciais válidas provenientes de “fontes de terceiros”, disse a Amtrak, que acrescentou que não havia razão para acreditar que seus próprios sistemas estivessem comprometidos.
Amtrak Guest Rewards é um programa gratuito disponível para americanos que realmente usam o sistema ferroviário, o maior do mundo, permitindo-lhes acumular pontos que podem ser gastos em coisas como upgrades de viagem, cartões-presente e até mesmo produtos da Amtrak para os fãs de trem mais dedicados.
No entanto, a única atualização que chega aos usuários afetados agora é a autenticação multifator obrigatória (MFA) em suas contas, que a Amtrak habilitou sem a intervenção do titular da conta.
Na verdade, parece mais uma autenticação de dois fatores (2FA) do que uma verdadeira MFA, mas as organizações geralmente preferem dizer “MFA” para parecer mais seguro.
Amtrak disse em uma carta [PDF] aos clientes afetados: “Como precaução para melhorar a segurança da sua conta e evitar o acesso não autorizado à conta, a Amtrak habilitou a autenticação multifator em sua conta Amtrak Guest Rewards. Ao fazer login em sua conta Amtrak Guest Rewards, você terá a opção de receber uma validação código por e-mail ou texto. Depois de receber o código, você o insere no site ou aplicativo para concluir seu login.”
O True MFA oferece uma camada adicional de autenticação além do sistema básico de entrada de senha e código, como a adição de correspondência de números, biometria e medidas baseadas em localização.
Isso ocorre porque a quantidade de dados potencialmente acessados pelos invasores inclui:
-
Endereços de e-mail, que podem ter sido alterados pelos invasores
-
Nomes
-
Informações de contato
-
Números de conta do Guest Rewards
-
Datas de nascimento
-
Detalhes de pagamento, como números parciais de cartão de crédito e datas de vencimento
-
Informações do cartão-presente, como número do cartão e PIN
-
Informações sobre as viagens anteriores da Amtrak do titular da conta
Além de a Amtrak ter habilitado 2FA à força nas contas afetadas, ela também forçou redefinições de senha e alterou o endereço de e-mail da conta, provavelmente porque pelo menos em alguns casos eles foram alterados pelos invasores, que não foram identificados.
“Ao redefinir a senha da sua conta Amtrak Guest Rewards, use uma senha exclusiva que não seja fácil de adivinhar ou usada para outras contas”, diz a carta.
“Além de alterar a senha de sua conta Amtrak Guest Rewards, considere alterar suas credenciais de outras contas online para as quais você usa o mesmo nome de usuário e senha ou semelhantes e revise essas contas em busca de qualquer atividade suspeita.”
A carta também inclui orientações detalhadas sobre as próximas etapas e como os clientes podem garantir que nenhuma atividade fraudulenta foi realizada usando seus dados, sendo oferecido aos titulares de contas um relatório de crédito gratuito.
O registro entrou em contato com a Amtrak para obter mais informações, incluindo detalhes sobre quantos clientes foram potencialmente afetados, mas não respondeu imediatamente.
O incidente marca a segunda vez que o programa de recompensas da empresa ferroviária foi violado por bandidos. Em 2020, foi forçado a escrever cartas semelhantes aos usuários depois que contas foram invadidas e dados pessoais acessados. Embora essas invasões específicas tenham sido detectadas rapidamente e nenhum dado financeiro estivesse em risco – a única ação tomada foi bloquear os invasores e redefinir as senhas. ®
.
