国際的な大手オークションハウスであるサザビーズは、脅威アクターによって財務情報を含む機密情報が盗まれるデータ侵害が発生したことを顧客に通知しています。
このハッキングは7月24日に検知され、どのようなデータが盗まれ、誰が影響を受けたのかを特定するための調査に2か月を要しました。
サザビーズは、美術品や高額品の世界的なオークションハウスであり、資産担保型融資サービスも提供しています。
同社は毎年数十億ドル規模のオークション売上を取り扱っており、昨年の総売上は60億ドルに達しました。
同組織がメイン州司法長官事務所に提出した書類によると、今回の事件で流出したデータには氏名全体、社会保障番号(SSN)、金融口座情報が含まれています。
「2025年7月24日、サザビーズは、当社の環境から未知のアクターによって特定のサザビーズのデータが持ち出された可能性があることを認識しました」と、影響を受けた個人に送られた書簡には記載されています。
「私たちは直ちに調査を開始し、関与した情報とその情報が誰に関連するかを特定・検証するために、データの広範なレビューを行いました」 – サザビーズ通知
影響を受けた個人の総数は公表されていませんが、提出書類にはメイン州で2名、ロードアイランド州で2名と記載されています。
BleepingComputerは、今回の攻撃、影響範囲、米国および世界で流出した人数についてサザビーズに情報提供を求めましたが、記事公開時点で回答は得られていません。
執筆時点では、サザビーズへの攻撃について身代金要求グループはいずれも犯行声明を出していません。
過去にも、身代金要求グループは大きな利益を狙って他のオークションハウスを標的にしてきました。昨年はRansomHubハッカーがクリスティーズを侵害し、50万人の顧客情報を盗んだとされています。
サザビーズも過去に他のセキュリティインシデントを経験しており、特にウェブサイトに悪意のあるコードが仕込まれ、支払い情報が収集されていました。2017年3月から2018年10月の間に、ウェブスキマーが顧客のカード情報や個人情報を盗みました。同社は2021年にもサプライチェーン攻撃による類似の事件に見舞われています。
今回データ侵害通知を受け取ったサザビーズの顧客には、TransUnionを通じて12か月間無料の本人確認保護およびクレジット監視サービスが提供されており、登録には90日間の猶予があります。
