ハッカーがWired誌の購読者記録数百万件を漏えいし、親会社であるコンデナスト(Condé Nast)から盗んだ追加の4,000万件の記録を公開すると脅している。
オンライン上で「Lovely」を名乗るハッカーは、ここ数日、複数のサイバー犯罪フォーラムにWiredのユーザーデータを公開した。
サイバーセキュリティ企業Hudson Rockが実施した分析によると、Wiredの記録230万件がダウンロード可能な状態で提供されているという。
漏えいした情報には、氏名、メールアドレス、表示名、生年月日、住所、電話番号、性別が含まれる。ただし、すべての記録に含まれているのはメールアドレスのみのようで、その他の種類のデータが露出しているのは比較的少数のユーザーに限られている。最新のエントリは2025年9月付となっている。
Hudson Rockは、情報窃取型マルウェア(インフォスティーラー)によって過去に侵害された購読者の認証情報と照合することで、漏えいデータの真正性を確認した。
漏えいファイルの形式に基づき、同社は攻撃者が安全でない直接オブジェクト参照(IDOR)の欠陥やアクセス制御の不備を悪用し、ハッカーがデータを閲覧・改ざんできる状態になっていた可能性が高いとみている。
露出したWiredのデータは、データ侵害通知サービス「Have I Been Pwned」に追加された。
Wiredのデータを漏えいした後、Lovelyはコンデナストから4,000万件を超える別の記録も入手したと主張し、今後「数週間のうちに」公開可能にすると脅している。
コンデナストは、Vogue、Vanity Fair、Glamour、The New Yorkerといった主要出版物も擁するメディア企業である。ハッカーが入手したその他のデータ記録は、コンデナストの他の出版物の読者に関連する可能性がある。
同社はこのサイバーセキュリティ事案に関する声明を出していないようで、SecurityWeekのコメント要請にも回答していない。
DataBreaches.netは11月にLovelyから連絡を受け、Lovelyは研究者として、同社システムの脆弱性についてコンデナストに通知しようとしたもののうまくいかなかったと主張していた。後に、Lovelyはハッキングで利益を得ようとしていたサイバー犯罪者だったことが判明した。
