米国最大手のアダルトナイトクラブ運営会社RCI Hospitality Holdingsは、4月に公表したデータ侵害が約4万人に影響を及ぼすことを当局に報告しました。
RCI Hospitalityは米国最大級のアダルトナイトクラブ運営会社であり、スポーツバーやダンスクラブも傘下に持つ大手企業です。
同社は4月中旬にSECへの届出の中で、子会社のRCI Internet ServicesがIISウェブサーバー上の安全でない直接オブジェクト参照(IDOR)脆弱性を3月23日に発見したと公表しました。この脆弱性を通じて個人情報への不正アクセスが可能な状態になっていました。
IDOR脆弱性とは、攻撃者がURLやリクエスト内の値を書き換えることでデータへ不正アクセスできる脆弱性です。たとえば「account=101」でログインしているユーザーがURLを「account=102」に変更するだけで、別のユーザーの個人情報を閲覧できてしまいます。
RCIは当時の発表で、「多数の」独立契約者の情報が漏洩したと説明しており、氏名、連絡先情報、生年月日、社会保障番号(SSN)、運転免許証番号などが含まれていました。
被害者に送付された通知書によると、流出ファイルの精査は5月13日に完了しています。FBIへの通報も済んでおり、RCIは今後の捜査に全面協力する方針を示しています。
同社は今週、メイン州司法長官に対し、4万人以上が影響を受けると報告しました。
今回の攻撃の背後にいる人物や組織は現時点では不明であり、RCIへのハッキングを主張している既知のランサムウェアグループも確認されていません。
翻訳元: https://www.securityweek.com/nightclub-giant-rci-says-data-breach-affects-40000-individuals/
