カナダの大手オンライン投資運用サービスであるWealthsimpleは、最近発生した事件で攻撃者により顧客の個人情報が盗まれたことを受け、データ侵害があったことを公表しました。被害を受けた顧客数は明らかにされていません。
2014年に設立され、トロントに本社を置くこの金融サービス企業は、CAD$845億(約610億米ドル)以上の資産を保有しています。投資、取引、暗号資産、税務申告、支出、貯蓄など幅広い金融商品を、300万人以上のカナダ人に提供しています。
WealthsimpleのAndroidアプリはGoogle Playストアで100万回以上ダウンロードされており、iOSアプリはAppleユーザーから12万6,000件以上の評価を集めています。
BleepingComputerが確認した公式声明および顧客宛ての侵害通知メールによると、同社は8月30日にこの侵害を検知しました。
Wealthsimpleは、攻撃者による資金の盗難やパスワードの漏洩はなく、すべての顧客アカウントが安全であることを強調しています。
「信頼できる第三者によって作成された特定のソフトウェアパッケージが侵害されていたことが判明しました。その結果、当社顧客の1%未満の個人データが短期間にわたり不正にアクセスされました」とWealthsimpleは述べています。
「アクセスされたデータには、連絡先情報、Wealthsimpleの登録時に提出された政府発行ID、口座番号などの金融情報、IPアドレス、社会保険番号、または生年月日などの個人情報が含まれていました。」
このインシデントを検知して以来、同社は影響を受けた顧客にメールで通知し、2年間の無料クレジットモニタリング、ダークウェブ監視、ID盗難防止、保険を提供しています。
影響を受けた顧客には、認証アプリを用いた二要素認証(2FA)の利用、パスワードの使い回しを避けること、Wealthsimpleを装ったフィッシング詐欺に十分注意することが推奨されています。
今回の侵害はSalesloftサプライチェーン攻撃の一環か
同社は攻撃者がどのように顧客の個人情報にアクセスしたかについては明らかにしていませんが、声明やデータ侵害通知で共有された情報から、同社がShinyHuntersという脅迫グループに関連するSalesforceデータ侵害の最近の被害企業の一つである可能性が示唆されています。
当社はWealthsimpleに本件について質問し、攻撃者がどのように顧客データを盗んだか確認を求めましたが、現時点で回答は得られていません。しかし、BleepingComputerはWealthsimpleのサブドメイン上にSalesloftのインスタンスが存在していることを確認しており、現在は非アクティブのようです。本日早朝、ShinyHuntersはBleepingComputerに対し、Wealthsimpleの侵害もSalesloftサプライチェーン攻撃の一部であることを認めました。
今年初めから、ShinyHuntersはSalesforceの顧客を標的に、ボイスフィッシングを用いたデータ窃取攻撃を行っており、Google、Cisco、Allianz Life、Qantas、Adidas、Farmers Insurance、Workday、およびLVMH傘下のDior、Louis Vuitton、Tiffany & Co.などの大手企業に影響を与えるデータ侵害を引き起こしています。
最近では、このサイバー犯罪グループは、SalesloftのDrift AIチャット統合機能とSalesforceの連携において盗まれたOAuthトークンを使用し、Salesforceインスタンスに侵入。被害者の顧客からのサポートチケットやメッセージから、パスワード、Snowflakeトークン、AWSアクセスキーなどの機密情報を窃取しています。詳細はこちら
この手法を用いて、ShinyHuntersは少数のGoogle Workspaceアカウントにもアクセスし、Cloudflare、Palo Alto Networks、Zscaler、Tenable、Proofpoint、CyberArk、BeyondTrust、JFrog、Cato Networks、Rubrikなど、複数のサイバーセキュリティ企業のSalesforceインスタンスにも侵入しています。
