TokyoBlackHatNews

bleepingcomputer.com 5分で読了

ハッカー、2,300,000件の記録を含むWIREDデータベースを流出させたと主張

あるハッカーがコンデナストへの侵入に成功し、230万件超の購読者記録を含むとされるWIREDのデータベースを流出させたと主張している。さらに、コンデナストの他の媒体についても、追加で最大4,000万件の記録を公開する計画だと警告している。

12月20日、「Lovely」を名乗る脅威アクターがハッキングフォーラム上で当該データベースを流出させ、サイトのクレジットシステムで約2.30ドル相当でアクセスを提供するとした。投稿の中でLovelyは、コンデナストが脆弱性報告を無視し、同社がセキュリティを真剣に受け止めていないと主張した。

「コンデナストはユーザーのデータの安全性を気にしていない。私たちが彼らのウェブサイトの脆弱性を修正させるまで、丸1か月かかった」と、ハッキングフォーラムの投稿には書かれている。

「今後数週間で、彼らのユーザーのデータ(4,000万件以上)をさらに流出させる。楽しんで!」

ハッキングフォーラムでWIREDのデータを流出させた投稿
出典: BleepingComputer

同人物はその後、他のハッキングフォーラムでもデータを流出させた。そこでもユーザーは、データを含むアーカイブのパスワードを表示するためにフォーラムのクレジットを消費する必要があった。

Lovelyはまた、盗んだと主張する他のコンデナスト媒体の記録件数も共有した。使用されている略称から判断すると、The New Yorker、Epicurious、SELF、Vogue、Allure、Vanity Fair、Glamour、Men’s Journal、Architectural Digest、Golf Digest、Teen Vogue、Style.com、Condé Nast Travelerが含まれる。

コンデナストは侵害を受けたことをまだ確認していないが、BleepingComputerは流出したデータベースを分析し、20件の記録を正規のWIRED購読者のものとして検証できた。

データセットには合計2,366,576件の記録と2,366,574件のユニークなメールアドレスが含まれており、タイムスタンプは1996年4月26日から2025年9月9日までの範囲に及ぶ。

各記録には、購読者の固有の内部ID、メールアドレス、および任意のデータ(名・姓、電話番号、住所、性別、誕生日など)が含まれる。これらの項目の多くは空欄である。

記録には、アカウント作成および更新のタイムスタンプ、最終セッション情報、さらに表示用ユーザー名やWIREDアカウントの作成・更新日など、WIRED固有の項目も含まれている。 

Example record from leaked data
流出データの記録例
出典: BleepingComputer

多くの記録項目は空欄だが、追加の個人情報が含まれているものもある。

約284,196件(12.01%)には名と姓の両方が含まれ、194,361件(8.21%)には住所、67,223件(2.84%)には誕生日、32,438件(1.37%)には電話番号が含まれている。

さらに少数だが、より完全なプロフィールを含むものもあり、1,529件(0.06%)には氏名、誕生日、電話番号、住所、性別がすべて含まれている。

Hudson Rockの共同創業者兼CTOであるAlon Galも、以前に侵害された認証情報を含むインフォスティーラーのログを用いて記録を検証した。

「当社の研究者は、世界規模のインフォスティーラー感染ログの中からwired.comの正規購読者の認証情報を特定した」と、Infostealers.comの記事にはある。

「これらの侵害された認証情報を流出データベース内の記録と照合することで、被害組織とのいかなるやり取りも行うことなく、データセットの真正性を決定的に確認した。」

流出したデータベースはその後、Have I Been Pwnedにも追加され、ユーザーは自分のメールアドレスがデータ漏えいによって露出したかどうかを確認できるようになった。

セキュリティ研究者を名乗る

流出前、Lovelyはセキュリティ研究者であり、コンデナストに対する脆弱性の責任ある開示について支援を求めてDataBreaches.netのDissent Doeに連絡したと報じられている。

DataBreaches.netによると、この人物は11月下旬に連絡し、攻撃者がユーザーアカウント情報を閲覧・改ざんできるとされる脆弱性について、コンデナストのセキュリティチームに到達するための支援を求めたという。

当初、この人物はコンデナストに証拠を提示するために少数の記録のみをダウンロードしたと述べており、その中にはDataBreaches.netおよびWIREDの従業員に属するものとして検証された記録も含まれていた。

しかし、コンデナストから何の返答も得られなかったため、この人物は後にDissent Doeに対し、データベース全体をダウンロードしており、流出させると脅していると伝えた。

Dissent Doeは、自分が欺かれたと結論づけ、この件を、責任ある開示を追求するのではなく、盗んだデータをダウンロードして流出させた脅威アクターに翻弄された事例だと説明した。 

「『Lovely』について言えば、彼らは私を利用した。コンデナストは彼らに1セントたりとも支払うべきではないし、他の誰も支払うべきではない。彼らの言葉は明らかに信用できない」とDataBreaches.netは認めている。

BleepingComputerはこの件についてコンデナストに質問を送ったが、現時点では回答を得られていない。

翻訳元: https://www.bleepingcomputer.com/news/security/hacker-claims-to-leak-wired-database-with-23-million-records/

ソース: bleepingcomputer.com
#Condé Nast #Have I Been Pwned #WIRED #インフォスティーラー #サイバー攻撃 #サブスクライバー情報 #データ漏洩 #ハッキングフォーラム #個人情報流出 #脆弱性報告

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用