ダークウェブのオートショップが盗まれたクレジットカード情報を販売していましたが、インフラストラクチャの構築にAIコーディングツールに大きく依存した後、345,000件以上のカード記録を誤って露出させました。研究者らは、この流出がAI生成ソフトウェアを適切なセキュリティチェックや人間の監視なしでデプロイする「Vibe Coding」の増加するリスクを浮き彫りにしていると指摘しています。
Cybernewsの研究者らは最近、盗まれた決済カード情報を販売し、顧客がカード購入前にカードがまだ機能しているかどうかを検証するツールを提供していた犯罪マーケットプレイス「Jerry’s Store」に接続されたセキュリティが不十分なサーバーを発見しました。この流出により、約345,000件の決済カード記録が露出されたほか、内部システム、検証ログ、管理ダッシュボードも露出されました。
Cybernewsによると、オペレーターがAIコーディングアシスタントを使用してインフラストラクチャの大部分を構築しましたが、ツールが生成したものを適切に保護できなかったため、この露出が発生しました。
このインシデントは、いわゆる「Vibe Coding」に関連するリスクの最も明確な事例の1つとして認識されるようになりました。これは、ユーザーが希望内容を平易な英語で説明し、AIシステムが自動的にコードを生成する、ますます一般的な慣行です。
Jerry’s Storeの背後にあるインフラストラクチャは、米国のソフトウェア企業Anysphereが開発したAI駆動のコーディングアシスタント「Cursor」を使用して構築されたと報告されています。Cursor自体は多くのプログラマーに広く使用されている正規の開発ツールですが、オペレーターはバックエンドシステムと内部スタッフダッシュボードの両方を作成するために、それに大きく依存していたようです。
Cybernews研究者によると、その後のセキュリティチェックなしに漠然とした指示がAIシステムに与えられた時点で問題が始まったとのことです。
パスワード保護、ログインシステム、認証バリアもなく、ブラウザから直接アクセス可能な、セキュリティが不十分なウェブダッシュボードが生まれました。
Cybernewsは4月16日にサーバーを発見し、機密情報が事実上インターネットに公開されていたことを確認しました。
流出したデータには、カード番号全体、有効期限、CVVセキュリティコード、名前、請求先住所を含む約145,000件の「有効な」決済カード記録が含まれていました。別の200,000件の記録は、システムによってすでに無効と判定されていました。
「ログに基づくと、Cursorの背後にあるモデルには、何を支援しているのかを理解するのに十分なコンテキストがありました。」とCybernewsは指摘しました。「クレジットカード検証サービスです。それは構築を続けました。」
研究者によると、オペレーターはAmazon、Grubhub、Sam’s Club、Temu、Lyft、Elf Cosmetics、CountryMaxなどのプラットフォーム上に偽のアカウントを作成しました。システムは、小額の取引を試みるか、盗まれたカードを支払い方法として追加して、カードが引き続き機能するかどうかをテストします。
チェックに合格したカードはその後、有効としてマークされ、ダークウェブのマーケットプレイスでより高い価格で販売されました。
サイバー犯罪フォーラムでは、検証済みカードは、テストされていないカードデータベースにはしばしば期限切れまたはブロックされた情報が含まれているため、著しく価値が高いと見なされています。
Cybernewsは、Cursorとのオペレーターのチャット履歴内の1つのリクエストに流出を遡りました。管理者の1人は、統計ダッシュボードを生成するようAIシステムに求めたと報告されています。AIはそれを実行しましたが、結果の実装はその後、セキュリティ保護なしでオンラインでデプロイされました。
「この場合はクレジットカード詐欺関連の悪用を特定するのに役立ちましたが、Cursorを正規の用途で使用している開発者にとっても教訓となり、いかに意図しないデータ流出につながる可能性があるかを示しています。」とCybernewsは述べました。
