Instacart将账户被盗归咎于重复使用的密码

网上购物服务公司Instacart说，密码的重复使用是导致最近一系列账户违规事件的罪魁祸首，数十万Instacart客户的个人数据被盗，并在黑暗的网络上出售。

该公司周四晚些时候发表声明说，其调查显示Instacart“没有被泄露或被攻破”，但指出是凭证填充，黑客从其他被入侵网站窃取用户名和密码的名单，并暴力强行进入其他账户。

声明中写道：“在这种情况下，第三方坏人似乎能够使用在其他网站和应用程序的数据泄露中泄露的用户名和密码登录一些Instacart帐户。”。

此前，BuzzFeed新闻报道称，在黑暗网络上出售的用户账户超过27万个，包括账户用户的姓名、地址、信用卡的最后四位数字，以及他们最近一周的订单历史记录。

Instacart的一位发言人告诉BuzzFeed新闻说，被盗数据只占Instacart在美国和加拿大“数百万”客户中的一小部分。

但谁才是真正的罪魁祸首：是客户重复使用密码，还是公司没有采取更多措施防止密码重复使用?

当然，两者兼而有之。任何互联网用户都应该在每个网站上使用一个唯一的密码，并安装一个密码管理器，以便随时随地为您记住密码。这意味着，如果黑客盗用了你的一个密码，他们就不能侵入你的所有账户。你还应该尽可能地启用双重身份验证，以防止黑客侵入你的在线帐户，即使他们有你的密码。通过发送代码到你的手机-无论是短信或应用程序-它增加了第二层保护你的在线帐户。

但Instacart不能把所有的责任都推到用户身上。Instacart仍然不支持双因素身份验证，如果客户启用了这一功能，就可以从一开始阻止账户黑客攻击。当我们检查时，没有一个选项可以在Instacart帐户上启用双因素，也没有在Instacart的站点上提到它支持安全特性。

谷歌去年公布的数据显示，即使是最基本的两个因素也能阻止绝大多数自动填充凭证的攻击。

我们询问该公司是否计划向其用户推出“双因素”。当联系到Instacart发言人Lyndsey Grubbs时，除了指出Instacart已经发表的声明外，不会对这一记录发表评论。

Instacart声称安全是“首要任务”，它有一个“专门的安全团队，以及多层安全措施，专注于保护所有客户帐户和数据的完整性。”

但如果不给用户提供基本的安全功能，比如双因素，Instacart用户几乎无法保护自己的帐户，更不用说指望Instacart为他们做了。