米国拠点の金融サービスおよびフィンテック企業である700Creditは、データ侵害インシデントにより個人情報が漏えいしたとして、580万人超に通知を開始する。
このサイバー攻撃は、脅威アクターが7月に700Creditの統合パートナーの一社へ侵入し、顧客情報を取得するためのAPIを発見した後に発生した。しかし、そのパートナーは侵害について700Creditに通知しなかった。
700Creditは10月25日に自社システム上の不審な活動に気づき、第三者のコンピュータ・フォレンジック専門家の支援を受けて調査を開始した。
700Creditは影響を受けた個人への通知の中で、「調査の結果、同社のディーラー顧客の顧客に関するウェブアプリケーション内の特定の記録が、無断でコピーされたことが判明した」と述べている。
700Creditのマネージング・ディレクターであるKen Hill氏によると、攻撃者は同社が露出していたAPIを停止するまでの5月から10月にかけて、消費者データのおよそ20%を盗み出すことに成功したという。
脅威アクターがデータを持ち出せたのは、APIにおけるセキュリティ上の脆弱性、すなわち消費者の参照IDを元の要求者と照合して検証しない不備が原因だった。
- 氏名
- 住所
- 生年月日
- 社会保障番号(SSN)
700Creditは、米国全土の自動車ディーラー向けに、信用情報レポート、本人確認、不正対策およびコンプライアンスサービスを提供する最大手の一社だ。同社によれば、23,000社を超える自動車、RV、パワースポーツ、マリン分野のディーラー顧客に対し、信用情報レポートおよびソフトプル(与信照会)ソリューションを提供している。
なお同社は、連邦取引委員会(FTC)に対し、自社分の侵害通知に加え、影響を受けたすべてのディーラー顧客を代表する統合通知も提出した点は注目に値する。
侵害の影響を受けた700Creditの顧客は、FTCや州司法長官事務所に通知を提出する必要はなく、同社がそれらも代理で行う。
700Creditはまた、注意喚起のため、このインシデントについて全米自動車ディーラー協会(NADA)にも通知した。
同社ウェブサイトの専用ページでは、データ侵害の概要と影響を受けた情報の種類に関する一般的な詳細が提供されている。
影響を受けた個人のリスク軽減を支援するため、700CreditはTransUnionを通じて、12か月間無料の本人情報保護およびクレジット監視サービスを提供しており、登録期間は90日間となっている。
データ侵害通知の受領者には、口座を注意深く監視し、セキュリティ凍結の設定を検討するよう助言している。
執筆時点では、ランサムウェアグループがこの攻撃を犯行声明として名乗り出てはいない。BleepingComputerはインシデントの詳細を確認するため700Creditに連絡したが、直ちにコメントは得られなかった。
