PBSは、従業員および関連会社の企業連絡先情報が流出するデータ侵害を受けたことを、BleepingComputerが確認しました。
今月初め、BleepingComputerは、この情報が含まれているとされるファイルがDiscordサーバー上で出回っているとの通報を受けました。
このデータは、ダークウェブサイトやハッキングフォーラム、その他の脅威アクターがよく利用する媒体では配布されていませんでした。代わりに、「PBS Kids」のファン向けDiscordサーバー上で共有されており、若年層やティーンエイジャー、さらに年少の子供たちが、自分たちが育ったお気に入りの番組について語り合う場となっています。
「それを共有している若者や子供たちは、目新しさや反抗的な好奇心、あるいは単に仲間内で少し注目を集めたいという気持ちからやっているようです」とBleepingComputerは伝えられました。
「金銭的利益のためにデータを悪用するというよりも、それを持っていること自体の“カッコよさ”が目的のようです。」
「とはいえ、悪用される可能性があるのは明らかです。」
BleepingComputerはそのファイルを入手し、3,997人分のPBS従業員および関連会社の企業連絡先情報が含まれていることを確認しました。
JSONファイルの各レコードには、従業員の氏名、企業メールアドレス、役職、タイムゾーン、部署、所在地、職務内容、趣味、そして上司の名前が含まれています。
PBSにこの侵害について問い合わせたところ、同社は公共テレビ従業員向けの内部サービスから情報が盗まれたことを認めました。
「MyPBS.orgという公共テレビ従業員向けの内部サービスからユーザーデータを含むファイルがオンラインに掲載されたとの通知を受け、当社はこのインシデントの徹底的な調査を開始しました。調査は現在も継続中です」とPBSの広報担当者はBleepingComputerに語りました。
「今回関与が確認された情報のユーザーには、このインシデントについてご連絡しています。現時点では、他のPBSシステムが関与している証拠はありません。」
BleepingComputerは、データの悪用事例については把握していませんが、この週末にもDiscordコミュニティ内で引き続き流通していることを確認しています。
データをBleepingComputerに共有した情報提供者は、盗まれたデータが、単にお気に入りの番組について語り合うためのこれらのコミュニティに、望ましくない注目を集めてしまうのではないかと懸念しています。
今回の侵害は犯罪目的というよりも好奇心から発生したように見えますが、従業員のデータが流出したことで、特にPBSやNPRに対する政治的な監視が続く中、情報が嫌がらせやドクシング(個人情報の晒し)などに悪用される懸念が高まっています。
