データ漏洩追跡サイトHaveIBeenPwnedは、ピアツーピア型貸付業者Prosperが9月に受けたサイバー攻撃の被害者数が1,760万人に上ると主張しています。
- ブラウザのユーザーエージェント情報
- 信用状況情報
- 生年月日
- 雇用状況
- 政府発行のID
- 収入レベル
- IPアドレス
- 氏名
- 住所
顧客アカウントや資金は安全であると考えられており、プラットフォームの顧客向け業務には影響はありませんでした。
これまでのところ、Prosperは「社会保障番号を含む機密性の高い独自の個人情報」が影響を受けたことのみを認めており、規模についてはまだ確認していません。
The Registerは、セキュリティ専門家トロイ・ハント氏が所有するHIBPの投稿について、同社にコメントを求めました。
広報担当者は「ハント氏の声明は認識していますが、彼の主張を裏付けることはできません。どのデータが影響を受け、誰のものかを特定する調査は継続中です」と述べました。
サンフランシスコ拠点の貸付プラットフォームの本件専用FAQページによると、9月2日時点でシステムへの不正アクセスは封じ込められたと考えられていますが、侵入がいつ始まったかは明らかにされていません。
これは調査が初期段階にあり、膨大なデータを精査・検証する必要があるためかもしれません。インシデント対応調査が数週間から数ヶ月かかるのは一般的です。
「調査はまだ非常に初期段階ですが、このインシデントの解決を最優先事項とし、適切なタイミングでお客様に追加情報を共有することを約束します」とProsperは記しています。
「不正アクセスを把握した直後にインシデント対応を開始しました。このインシデントを包括的に封じ込め、顧客やシステムへの影響を防ぎ、漏洩したデータを特定し、影響を受けた方に適切な情報を提供するため、発覚以来懸命に取り組んできました。正確な情報の提供を最優先しています。」
米国でのデータ窃盗事件で一般的な対応として、Prosperは影響を受けた個人に対し、データと正確な人数が確定次第、無料のクレジットモニタリングサービスを提供すると確認しています。
その間も、法執行機関の調査に全面的に協力することを約束し、「この種のインシデントを防ぐための様々な対策や技術」を既に導入しているものの、セキュリティ管理の強化を誓いました。
2005年設立のProsperは、200万人以上に280億ドル超の個人ローン、10億ドルの拡張クレジット、5億ドル超の住宅資産ローンやクレジットラインを提供したと主張しています。また、より幅広い金融商品も提供しています。
もし1,760万人という数字が正しければ、Prosperの情報漏洩は今年最も重大かつ広範囲なものの一つとなりますが、史上最大規模には及びません。
この規模の下限には、Home Depot(5,600万件)やJPMorgan Chase(8,300万件)への攻撃があります。
最上位には、Yahoo(30億件)、National Public Data(当初29億件と報告されたが後に否定、ただし憶測もあり)、River City Media(14億件)などがあります。
いわゆる「史上最大の情報漏洩」をカウントするなら、報告では260億件となります。ただし、これは約4,000件の個別データ攻撃の合算であり、2024年1月の流出後に大きな注目を集めたものの、公平な比較とは言えません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/17/prosper_breach/
