ハッカーが新たな侵害で盗まれたとされるTelefónicaのデータをリーク

ハッカーが、スペインの通信会社Telefónicaから新たな侵害で盗まれたとされる106GBのデータをリークすると脅迫していますが、同社はこの件を認めていません。

脅威アクターは、侵害が発生したことを証明するために、2.6GBのアーカイブ（展開すると2万件超・5GB以上のファイル）をリークしました。

この侵害は5月30日に発生したとされ、ハッカーは防御側にアクセスを遮断されるまで12時間連続でデータを流出させたと主張しています。

この攻撃の犯行声明を出しているハッカーは「Rey」として知られ、Hellcat Ransomwareグループのメンバーです。同グループは、今年1月にTelefónicaの内部Jira開発・チケッティングサーバーを通じて発生した別の侵害にも関与しています。

ReyはBleepingComputerに対し、合計106.3GB、385,311ファイルの内部コミュニケーション（チケットやメール等）、発注書、内部ログ、顧客記録、従業員データを流出させたと語りました。

また、5月30日の侵害は、同社が前回の侵害に対応した後に発生したJiraの設定ミスが原因だったとも述べています。

BleepingComputerは6月3日以降、複数回にわたりTelefónicaにメールで連絡を試みました。また、複数の経営幹部にも連絡しましたが、5月30日の侵害についての回答は得られませんでした。

唯一の回答はTelefónica O2の従業員からで、この件については、以前から知られていたインシデントの古い情報を使った恐喝未遂だと一蹴されました。

Telefónica O2は、スペイン企業の英国およびドイツにおける通信事業ブランドです。

ReyはBleepingComputerに対し、5月30日にTelefónicaから盗まれたとされるデータのサンプルとファイルツリーを共有しました。ファイルの中には、ハンガリー、ドイツ、スペイン、チリ、ペルーなど複数国の法人顧客への請求書も含まれていました。

受け取ったファイルには、スペイン、ドイツ、ペルー、アルゼンチン、チリの従業員のメールアドレスや、欧州各国のビジネスパートナーや顧客への請求書が含まれていました。

ただし、Reyが共有した情報の中で最も新しいファイルは2021年のものであり、これは同社担当者の説明を裏付けるもののようです。

しかし、ハッカーは5月30日の新たな侵害によるデータだと主張し続けており、その証拠として盗まれたとされるファイルの一部をリークし始めています。

「Telefónicaが内部インフラからの106GBの最近の侵害を否定しているため、ここで5GBを証拠として公開します。近日中に全ファイルツリーを公開し、今後数週間でTelefónicaが対応しなければ、アーカイブ全体を公開します。;)」とReyは述べています。

データは当初、PixelDrainというストレージ・データ転送サービスで配布されましたが、数時間後に法的理由で削除されました。

その後、脅威アクターはKotizadaというサービスから別のダウンロードリンクを配布しましたが、このサービスはGoogle Chromeで危険なサイトと警告され、利用しないよう強く推奨されています。

Telefónicaが公式声明を出すまで、これが古いデータを含む新たな侵害なのかは不明です。しかし、BleepingComputerの調査によると、リークされたメールアドレスの中には現役従業員のものも含まれていました。

HellCatハッキンググループは新参ではなく、主にJiraサーバーを標的とすることで知られています。彼らは複数の有名企業への攻撃に関与しています。

彼らは、スイスのグローバルソリューションプロバイダーAscom、Jaguar Land Rover、Affinitiv、Schneider Electric、Orange Groupなどでの侵害を主張しています。