De Amerikaanse fastfoodketen Chick-fil-A waarschuwt ruim 71.000 klanten voor een datalek nadat aanvallers erin zijn geslaagd om op hun account in te breken omdat ze geen uniek wachtwoord voor hun account gebruikten. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine meldt de fastfoodketen dat het onlangs verdachte inlogactiviteit met Chick-fil-A One-accounts ontdekte.

Klanten kunnen via een One-account met elke aankoop punten sparen waarmee vervolgens producten van Chick-fil-A kunnen worden verkregen. Na ontdekking van de verdachte inlogactiviteit startte de fastfoodketen een onderzoek en ontdekte dat aanvallers tussen 18 december vorig jaar en 12 februari een credential stuffing-aanval tegen de website en mobiele app hebben uitgevoerd.

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Ook Chick-fil-A stelt dat de inloggegevens die de aanvallers gebruikten bij andere websites zijn buitgemaakt.

In totaal wisten de aanvallers op 71.473 accounts in te loggen en hebben zo toegang gekregen tot naam, e-mailadres, laatste vier cijfers creditcard, krediet, geboortedatum, telefoonnummer en adresgegevens. Naar aanleiding van de aanval heeft de fastfoodketen van alle ruim 71.000 klanten de wachtwoorden gereset, hun ingestelde betaalmethode verwijderd en tijdelijk alle tegoeden die klanten op hun account hadden bevroren. Chick-fil-A roept klanten op om een uniek en sterk wachtwoord te kiezen.