独占: フードデリバリープラットフォームのGrubhubは、ハッカーが同社のシステムにアクセスしたことによる最近のデータ侵害を確認し、情報筋によれば同社は現在、恐喝要求に直面しているという。
「最近、Grubhubの一部システムからデータをダウンロードした不正な人物がいたことを把握しています」とGrubhubはBleepingComputerに語った。
「私たちは迅速に調査し、当該活動を停止し、セキュリティ体制をさらに強化するための措置を講じています。金融情報や注文履歴などの機微な情報は影響を受けていません。」
Grubhubは、侵害がいつ発生したのか、顧客データが関与していたのか、恐喝を受けているのかといった点を含め、この侵害に関する追加の質問には一切回答しなかった。
ただし同社は、第三者のサイバーセキュリティ企業と協力しており、法執行機関にも通知したことを確認した。
先月、Grubhubは、同社のb.grubhub.comサブドメインから送信された詐欺メールの波とも関連付けられた。そこでは、ビットコインでの支払いに対して10倍のリターンを約束する暗号資産詐欺が宣伝されていた。
Grubhubは当時、この問題を封じ込め、さらなる不正メッセージを防ぐための措置を講じたと述べたが、この件に関する追加の質問には答えなかった。
この2つの事案が関連しているかどうかは不明だ。
ハッカーによる恐喝
Grubhubは詳細を共有しなかったものの、複数の情報筋がBleepingComputerに対し、サイバー犯罪グループShinyHuntersが同社を恐喝していると語っている。
BleepingComputerは脅威アクターにこれらの主張の確認を試みたが、彼らはコメントを拒否した。
情報筋によれば、脅威アクターは、2025年2月の侵害による古いSalesforceデータと、最近の侵害で盗まれた新しいZendeskデータの公開を防ぐため、ビットコインでの支払いを要求しているという。
GrubhubはZendeskを、注文、アカウントの問題、請求に関するサポートを提供するオンラインサポートチャットシステムの基盤として利用している。
侵害がいつ発生したのかは不明だが、BleepingComputerは、最近のSalesloft Driftのデータ窃取攻撃で盗まれたシークレット/認証情報を通じたものだと聞かされている。
8月には、脅威アクターがSalesloftのSalesforce連携用に盗まれたOAuthトークン を使用し、2025年8月8日から8月18日にかけてデータ窃取キャンペーンを実施した。
Googleの脅威インテリジェンスチーム(Mandiant)の報告によれば、盗まれたデータはその後、認証情報やシークレットを収集し、他プラットフォームへの追撃攻撃を行うために使用された。
「GTIGは、UNC6395がAmazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンといった機微な認証情報を標的にしていることを確認しました」 とGoogleは報告している。
ShinyHuntersは当時、この侵害の背後にいると主張し、760社分のSalesforceオブジェクトテーブル「Account」「Contact」「Case」「Opportunity」「User」から、約15億件のデータレコードを盗んだと述べた。
脅威アクターが、以前に盗まれたSalesforceデータを悪用して追撃攻撃を継続しているため、Salesloft Driftの侵害の影響を受けた組織は、まだ実施していない場合、影響を受けたすべてのアクセストークンとシークレットをできるだけ早くローテーションする必要がある。
