- Freedom Mobileが下請け業者のアカウントを通じたサプライチェーン侵害を受け、顧客の個人情報(PII)が流出
- 盗まれたデータには氏名、住所、生年月日、電話番号、アカウント番号が含まれるが、パスワードや支払い情報は影響を受けず
- 同社はフィッシングリスクを警告;現時点でデータ流出の証拠はなく、調査は継続中
カナダの通信事業者であるFreedom Mobileは最近サプライチェーン攻撃を受け、開示されていない人数の顧客に関する機密データを失った。
今週初めに同社のウェブサイトに掲載されたデータ侵害通知書の中で、Freedomは、ハッカーが下請け業者のアカウントに侵入し、それを通じて「一部の」顧客の個人情報にアクセスしたと述べた。この侵害は10月23日に発見され、そのアクセスは遮断された。
しかし、そのアカウントがブロックされクリーンアップされるまでの間に、ハッカーは人々の氏名、郵送先住所、生年月日、自宅および携帯電話番号、さらにFreedom Mobileのアカウント番号を盗み出すことに成功した。
フィッシングに関する警告を発出
同社は、支払い情報やパスワードは今回の攻撃で取得されなかったと強調しているものの、脅威アクターは極めて破壊的なフィッシング攻撃を仕掛けるのに十分な情報を盗み出している。
例えば、彼らはFreedom Mobileを装って顧客に連絡し、被害者に対して「至急ログインしないとアカウントを停止する」と脅すことができる(偽のログインページを通じて認証情報を盗む)。あるいは、プログラムのダウンロードを促すこともできる(実際にはマルウェアである)。このようなメールに個人を特定できる情報が組み合わさると、受信者にとってもっともらしく聞こえ、結果として侵害につながる可能性がある。
記事執筆時点では、いかなる脅威アクターもこの攻撃への関与を主張しておらず、Freedom Mobileもデータが闇市場などに流出した証拠を見つけていない。それでも、ユーザーには、特に通信事業者を名乗り、緊急性をあおるメッセージには注意を払うよう勧告されている。「Freedom Mobileがクレジットカード番号、銀行情報、パスワード、PINコードなどの個人情報をメールやSMSでお尋ねすることは決してありません」と通知には記されている。
Freedom Mobileは2008年にWind Mobileとして設立され、現在カナダ全土で200万人以上の顧客を抱えている。2023年にはVidéotronに買収され、加入者数の合計は350万人以上となった。
