美国汽车制造商通用汽车透露，它是上个月撞库攻击的受害者，该攻击暴露了一些客户的信息，并允许黑客用奖励积分兑换礼品卡。

通用汽车运营一个在线平台，帮助雪佛兰、别克、GMC 和凯迪拉克汽车的车主管理他们的账单、服务和兑换奖励积分。

车主可以将 GM 奖励积分兑换为 GM 车辆、汽车服务、配件和购买 OnStar 服务计划

针对撞库攻击
通用汽车透露，他们在 2022 年 4 月 11 日至 4 月 29 日期间检测到了恶意登录活动，并确认黑客在某些情况下将客户奖励积分兑换为礼品卡。

“我们写信是为了跟进我们给您的 [DATE] 电子邮件，告知您涉及识别最近兑换您的奖励积分似乎未经您授权的数据事件，”发送给受影响客户的数据泄露通知解释说.

通用汽车表示，他们将为所有受此违规影响的客户恢复奖励积分。

但是，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。

凭据填充攻击是指威胁参与者使用在其他站点的数据泄露中泄露的用户名/密码组合集合来访问网站上的用户帐户。

“根据迄今为止的调查，没有证据表明登录信息是从通用汽车本身获得的，”通用汽车在另一份数据泄露通知中解释道

“我们认为，未经授权的各方获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限，然后在客户的通用汽车账户上重复使用这些凭证。”

GM 要求受影响的用户 在再次登录他们的帐户之前重置他们的密码。

个人信息暴露

当黑客成功入侵 GM 帐户后，他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息：

名字和姓氏，
个人电子邮件地址，
个人地址，
与帐户绑定的注册家庭成员的用户名和电话号码，
最后已知和保存的最喜欢的位置信息，
当前订阅的 OnStar 套餐（如果适用），
家庭成员的头像和照片（如果已上传），
个人资料图片，
搜索和目的地信息。
黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置（包括密码）等。

但是，GM 帐户不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息，因此这些信息没有被泄露。

除了重置密码外，通用汽车还建议受影响的个人向银行索取信用报告，并在案件需要时进行安全冻结。通知中附有有关如何操作的说明。

不幸的是，通用汽车的在线站点不支持双重身份验证，这会阻止撞库攻击成功。但是，可以添加客户必须用于所有购买的 PIN。

至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是略低于 5,000家。

ZZQIDC已联系通用汽车以获取有关这方面的更多信息，我们将在收到回复后立即更新此帖子。