TokyoBlackHatNews

hackread.com 4分で読了

ハッカーがWired.comの記録230万件を流出、コンデナストでユーザー4,000万人規模の侵害を主張

「Lovely」という別名を名乗るハッカーが、米国の著名な雑誌・ウェブサイトであるWired.comのユーザー230万人超の個人データだと主張する情報を流出させた。流出データは2025年12月20日、新たに立ち上がったハッキングフォーラム「Breach Stars」に投稿された。

ハッカーはダウンロードリンクとファイルハッシュに加え、Wiredの親会社であるCondé Nastが繰り返しの警告を無視したと非難する声明を発表した:

「Condé Nastはユーザーのデータセキュリティを気にしていない。彼らのウェブサイトの脆弱性を修正するよう説得するのに丸1か月かかった。今後数週間で、彼らのユーザーデータ(4,000万件以上)をさらに漏えいさせる。楽しんで!」

Wiredのデータ

流出したWired.comのデータには、氏名、メールアドレス、ユーザーID、表示名、アカウント作成・更新のタイムスタンプ、そして一部では最終セッション日などのフィールドを含むユーザー記録が含まれている。

良いニュースとしては、パスワードや決済情報は確認できない。しかし、実在のメールアドレスと固有のユーザーIDが含まれていることから、プライバシーの観点では機微性が高く、漏えいとして成立する内容だ。

多くの記録では、電話番号、生年月日、住所といった個人項目が空欄で、登録時に必須ではなかったことを示している。一部のエントリではシステム生成のWired.comメール(例:(redacted)[email protected])が使われており、自動化やテスト目的の可能性が高いが、Gmail、AOL、地域ISPのアドレスなど個人メールも含まれており、2011年まで遡る実在ユーザーアカウントが含まれていることが確認できる。

タイムスタンプには古いものと新しいものが混在しており、2011年から2022年の間に作成されたアカウントが見られる。最終セッションデータがあるものもあれば、ないものもある。これは、データが静的なマーケティングリストではなく、稼働中またはアーカイブされたユーザーデータベースから取得されたことを示唆する。総合すると、ハッカーがWired.comのアカウントシステム、またはコンデナストの共通ID基盤に直接アクセスしたという主張を裏付ける。

Image
流出データのスクリーンショット(提供:Hackread.com)

主張されている記録件数のサンプル:

投稿には、コンデナストの他プロパティに関する記録の内訳も含まれている。共有されたリストによれば、ハッカーは以下を含む数十のブランドにまたがる4,000万アカウント超のデータにアクセスしたと主張している:

  1. GQ(MEN) – 994,072
  2. Self(SELF) – 2,075,122
  3. Wired(WIR) – 2,366,576
  4. Vogue(VOG) – 1,959,212
  5. Allure(ALLURE) – 1,871,068
  6. Bon Appétit(BNA) – 2,030,162
  7. The New Yorker(NYR) – 6,796,525
  8. Glamour(GLAMOUR) – 1,461,408
  9. Architectural Digest(AD) -854,862
  10. Vanity Fair(VANITYFAIR) – 1,637,038
  11. Teen Vogue(TEENVOGUE) – 586,194
  12. Golf Digest(GOLFDIGEST) – 684,549
  13. Condé Nast Traveler(TVL) – 1,080,711

このリストには「NIL」とラベル付けされた項目も含まれており、既知のコンデナストブランドには一致しないものの、9,468,938アカウントが含まれている。さらに、CNEE_UK_TAT(8,327アカウント)やUVO(51,797アカウント)といった小規模な国際セグメントやサブブランドも含まれており、侵害が中央集約型のアカウント基盤に関わる可能性を示唆している。

公開時点で、コンデナストは侵害を認める/否定するいかなる公式声明も出していない。データの真正性を検証する試みは継続中だが、ソーシャルメディア上の一部報告では、サンプルに氏名、メール、ハッシュ化された認証情報を含む実在ユーザーのアカウント詳細が含まれていることが確認されたとしている。

Image
ハッカーが公開した詳細を示すBreach Starsハッカーフォーラムのスクリーンショット(提供:Hackread.com)

ハッカーは以前、研究者を装っていた

別件として、このハッカーは善意のセキュリティ研究者を装い、DataBreaches.netのDissent Doeを含む他のジャーナリストにも接触していた。やり取りは、信頼性に疑念が生じた後に破綻し、彼らはデータを公に漏えいさせると脅し始めたため、他の主張についてもさらなる疑念が生じている。

データを抽出するために使われたとされる脆弱性や手法は、公には明らかにされていない。それでも、Hackread.comによる流出230万件の分析では、データが正当なものであることが示されている。

しかし、Wired.comの漏えいおよびより広範な侵害について確認または否定できる権限を持つのは、コンデナストのみである。それまでは、当該データおよびハッカーによる関連する主張はすべて未検証として扱うべきだ。

本件は続報中である。

翻訳元: https://hackread.com/hacker-leak-wired-com-records-conde-nast-breach/

ソース: hackread.com
#40万人規模侵害疑惑 #Breach Stars #Condé Nast #Lovely #Wired.com #アカウント情報 #サイバーセキュリティ #データ漏洩 #ハッキング #個人情報流出

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃