TFL锁定牡蛎账户以抵御凭证填充物
伦敦的运输(TFL)为其牡蛎和非接触式支付服务的用户实施了强制性的密码重置,少数乘客在今年早些时候出现恶意地访问的账户后。
该违规影响了大约1,200个用户的服务,并且被认为是由于TFL部分的任何失败,而是因为受影响的客户重复使用他们自己违反的其他网站的TFL帐户密码。事件期间没有付款细节。
在此事件之后,为了减少对系统所有用户的凭证填充的风险,TFL在11月28日锁定了每六百万六百万左右的用户账户,等待用户启动的重置。
“保护客户的数据是至关重要的,我们希望帮助客户确保他们的个人账户保持安全,”TFL CTO SASHI VERMA说。“作为这一持续工作的一部分,我们最近开始制作所有牡蛎和非接触式在线账户持有人在下次登录时重置他们的密码。
“这是一个预先通过从非TFL网站获得的数据访问的非常少量的帐户的报告的预先报告的预防措施。这是增强我们在线帐户的安全性的例程步骤。“
牡蛎用户可以通过访问Tfl.gov.uk/reset-password并按照那里概述的步骤来重新访问他们的TFL账户。新密码需要至少八个字符,并包含一个数字,大写和小写字母和特殊字符。密码也应该是唯一的,并且从未在任何其他服务中重复使用。
Verma表示,乘客仍然可以像正常一样充值他们的牡蛎卡,并在TFL服务上旅行,而无需重置他们的密码。
TFL招募了英国运输警察,以帮助调查谁落后于违约之后,并且据了解,已经逮捕了一次。信息专员办事处也通知。
格林威治大学网络安全副教授George Loukas表示,虽然在不同的在线服务中重用密码往往很诱人,但应该避免这种做法,特别是现在,密码管理器服务很容易获得。
“每次听到你最喜欢的在线商店的消息时,在线游戏网站或在线存储提供商已经被黑了攻击,您可以考虑您在那里使用的用户名和密码配对,”Loukas说。
“网络犯罪分子在掌握受损的凭证之后,他们使用廉价的软件,可以自动检查您使用的其他位置。然后他们经常将这些销售给其他网络罪犯,这些罪犯将受益于冒充你。“