ある犯罪グループが、恐喝の試みに対してもっと早く応じなかったとしてコンデナストを痛めつけるべく、盗んだ購読者のメールアドレスと自宅住所を投稿し、Wired、The New Yorker、Vanity Fair、Teen Vogueの発行元に対し、さらに4,000万件のエントリーを保有していると警告した。
Lovelyとして知られる同グループは、1か月前にコンデナストへセキュリティ上の穴について知らせようとしたが、返答がなかったため、クリスマス当日に購読者のメールアドレスを公開することにしたと述べた。
今回の漏えいはWired誌の読者を中心としている。悪党どもは230万件のメールを公開し、その中には28万5,000人分の氏名、10万8,000件の自宅住所、3万2,000件の電話番号が含まれていた。
さらに、一部のユーザーID、表示名、アカウント作成および更新のタイムスタンプ、そして場合によっては最終セッション日やIPアドレスも公開されており、標的となった可能性のあるデータベースが生きたデータを含んでいて、静的なマーケティング用リポジトリではなかったことを示している。
「コンデナストはユーザーデータの安全性など気にしていない。彼らのウェブサイトの脆弱性を修正するよう説得するのに丸1か月かかった」とハッカーはフォーラム投稿に書いた。「今後数週間で、彼らのユーザーデータ(4,000万件以上)をさらに漏えいさせる。楽しめ!」
ファイル一式はLimewireとGofile.ioに公開された。
世界はまもなく、あなたがThe New Yorkerを購読しているかどうかを知ることになるかもしれない。そこから、現代の生活に鋭い一撃を加える乾いた機知に富んだカートゥーンを好むタイプの人間かどうかを推し量られる可能性がある。The Registerはコメントを求めてコンデナストに連絡したが、まだ返答は得られていない。
ファイルの一塊をダウンロードしたセキュリティ研究者は、ハッカーがはったりではないと判断した。公開されたメールアドレスは、メールが侵害された購読者と一致しているように見える。Hudson Rockの研究者は、この攻撃にはRedLineやRacoonといったインフォスティーラー型マルウェアで用いられる手口の特徴があると述べた。
「当社の研究者は、世界規模のインフォスティーラー感染ログの中からwired.comの正当な購読者認証情報を特定した。これらの侵害された認証情報を漏えいデータベース内の記録と照合することで、被害組織と一切やり取りすることなく、データセットの真正性を決定的に確認した」とHudson Rockは自社サイトに記した。
同社の研究者は、情報が公開された結果、被害者がドクシング、スワッティング、フィッシングキャンペーンの標的になり得ると警告している。ただしHackreadは、救いとしてクレジットカード情報は露出していないようだと指摘した。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/29/wired_hack_subscriber_info_leaked/
