Lovelyという別名を名乗るハッカーが、地下フォーラム上でWIRED購読者の個人情報を含むデータベースを公開した。攻撃者によれば、このデータは同誌を所有するメディア複合企業コンデナスト(Condé Nast)への侵害によって入手されたという。漏えいしたデータセットには230万件超の記録が含まれるとされ、ハッカーはこれが始まりにすぎないとして、近い将来、コンデナストの他の出版物に属する数千万ユーザー分のデータも公開すると約束している。
データベースを掲載した投稿は12月20日に現れ、コンデナストに向けた非難も添えられていた。Lovelyは、同社が自社ウェブサイトの脆弱性報告を1か月以上にわたり無視したと主張している。
漏えいデータを含むアーカイブへのアクセスは、フォーラムの内部仮想通貨システムを通じて販売されており、費用はおよそ2.30ドル相当にあたる。その後、このアーカイブは他のハッキング系プラットフォームにもミラーされたが、いずれの場合もパスワードを入手するにはクレジットを支払う必要がある。
Lovelyはまた、ユーザーデータが侵害されたとされるメディア各社の一覧も公開した。名指しされた出版物には、The New Yorker、Vogue、SELF、Vanity Fair、Teen Vogue、Condé Nast Traveler、Glamour、Allure、Men’s Journal、Architectural Digest、Golf Digest、Epicuriousが含まれている。
漏えいしたデータベースには2,366,576件の記録が含まれており、そのうち2,366,574件には固有のメールアドレスが含まれている。アカウント作成日および活動日は1996年4月下旬から2025年9月上旬までの範囲に及ぶ。各エントリには内部の購読者識別子とメールアドレスが含まれ、場合によっては氏名、電話番号、住所、生年月日、性別も含まれている。
多くの項目は空欄のままだが、約284,000件の記録にはフルネームが含まれ、194,000件超には住所が含まれ、約67,000件には生年月日が記載され、32,000件超には電話番号が含まれている。個人データが最大限に埋まった完全なプロフィールは、約1,500件のエントリにしか見られない。
データベースの真正性については、Hudson Rockの担当者が追加の裏付けを提供した。CTOのAlon Galによれば、WIREDのデータは、認証情報の窃取に関連するマルウェアログで以前に観測された情報と一致するという。
この事件はDataBreaches.netの注目も集めた。同サイトの担当者は、11月下旬にLovelyへ連絡したと述べており、その時点で当人は、安全なチャネルを通じて発見した脆弱性を報告しようとする研究者だと名乗っていたという。
問題を示すため、WIREDの従業員に紐づくものを含む複数のサンプル記録が共有された。返答が得られなかったため、ハッカーはデータベース全体を公開するに至った。その後、当初の主張は偽装であり、攻撃者の真の目的は当初から大量のデータを取得して公開することにあったことが明らかになった。
漏えいデータセットはその後、Have I Been Pwnedサービスに追加され、ユーザーは自分のメールアドレスが侵害されたかどうかを確認できるようになった。
翻訳元: https://meterpreter.org/hacker-lovely-leaks-2-3m-wired-subscriber-records/
