- 700CreditはサードパーティAPIが侵害された後、560万人分の機微データを失った
- 攻撃者は2週間にわたり消費者記録の約20%を吸い上げ、氏名、住所、生年月日、SSNを含む情報が流出
- 規制当局とFBIが調査する中、被害者には通知が行われ、2年間のクレジット監視が提供される
信用照会大手の700Creditがデータ侵害を受け、560万人超の機微情報が流出した。
メディア、パートナー、影響を受けた個人に共有された声明で、700Creditは2025年10月下旬にサードパーティのサプライチェーン攻撃を受けたと述べた。
同社はAPIを通じて200社以上の統合パートナーと連携しているが、7月にそのうちの1社が侵害された際、700Creditへの通知が行われなかった。その結果、正体不明のサイバー犯罪者が当該サードパーティのシステムに侵入し、消費者情報を取得するために使われていたAPIが露出した。
顧客への警告
700Creditによれば、この「持続的な高頻度(sustained velocity)」攻撃は2025年10月25日に始まり、2週間以上続いた。
同社は露出したAPIを停止することに成功したが、それでも攻撃者は消費者データのおよそ20%を入手した。これには氏名、住所、生年月日、社会保障番号(SSN)が含まれる。
700Creditの社内システムやログイン情報、支払い情報は侵害されなかったものの、脅威アクターは非常に説得力のあるフィッシング攻撃を仕掛けるのに十分なデータを入手したという。
そのため、顧客および取引先には、特に信用照会会社からのものだと主張する連絡には注意するよう呼びかけている。
「700Creditから手紙が届いたら、無視しないでください」とミシガン州司法長官のダナ・ネッセルは述べた。「このデータ侵害の影響を受けた人は、できるだけ早く情報を守るための措置を取ることが重要です。信用情報の凍結や監視サービスは不正を防ぐうえで大きな効果があり、ミシガン州民には、身元を安全に保つために利用可能なツールを活用することを勧めます」
同社はまた、全ての影響を受けたディーラーを代表して統合された侵害通知を提出するため、全米自動車ディーラー協会(NADA)と提携し、連邦取引委員会(FTC)との調整を行った。今回の攻撃はFBIにも報告された。
影響を受けた顧客には現在通知が行われており、2年間の無料クレジット監視、無料の信用報告書、専用サポート窓口へのアクセスが提供される。
