スペインの大手テクノロジー小売業者PcComponentesは、同社システムで1,600万人の顧客に影響するデータ侵害が発生したという主張を否定した一方で、クレデンシャル・スタッフィング攻撃を受けたことは確認した。
このスペインのEコマース企業は、コンピューター、ノートPC、周辺機器、ハードウェアの販売を専門としており、年間のユニークなマーケットプレイス訪問者数は推定7,500万人に上る。
昨日、「daghetiaw」と名乗る脅威アクターが、PcComponentesから盗まれた顧客データベースだと主張するものを公開し、1,630万件のレコードが含まれているとした。脅威アクターは50万件のレコードを漏えいし、残りを最高入札者に販売すると持ちかけた。
漏えいしたデータには、注文の詳細、住所、氏名、電話番号、IPアドレス、商品のウィッシュリスト、Zendeskを通じて同社とやり取りしたカスタマーサポートのメッセージが含まれている。
出典: BleepingComputer
本日の発表でPcComponentsは、同社システムへの侵害の可能性を調査したが、セキュリティ専門家は不正アクセスの証拠を見つけられなかったと述べている。
同社は「当社のデータベースや内部システムへの不正なアクセスはありませんでした」と断言し、さらに「影響を受けたとされる1,600万人という数字は誤りであり、稼働中のPcComponentesアカウント数はそれより大幅に少ない」と付け加えた。
同社はまた、金融情報や顧客パスワードは同社システムに保存していないことを強調した。
しかしPcComponentesは、調査の結果、同社プラットフォームに対するクレデンシャル・スタッフィング攻撃の証拠が見つかったことを認めた。これは、脅威アクターが他のセキュリティ侵害や漏えいデータベース由来のメールアドレスとパスワードを試し、PcComponentesのアカウントを見つけようとしたことを意味する。
クレデンシャル・スタッフィング攻撃は通常自動化されており、他サービスで再利用された大量のログイン認証情報に依存する。
脅威インテリジェンス企業Hudson Rockの調査では、攻撃者は情報窃取型マルウェアに感染したコンピューターからログインデータを収集した可能性が高いことが判明した。
「脅威アクターのサンプルから確認したメールはすべて、既存のインフォスティーラーのログに存在していました」と、Hudson Rockは本日の投稿で述べ、ログイン情報の一部は2020年まで遡る古いものだったと付け加えた。
Hudson Rockが公開したスクリーンショットには、検証された6つのメールアドレスのセットが示されており、それらはすべて、インフォスティーラー感染により以前に侵害されていたものとしてマークされていた。
PcComponentesの発表によると、侵害された少数のアカウントについて、以下のデータが露出したという:
- 名と姓
- 国民ID番号
- 住所
- IPアドレス
- メールアドレス
- 電話番号
このインシデントへの対応として、PcComponentesはログインページへのCAPTCHAの導入、全アカウントに対する二要素認証(2FA)の有効化の必須化、すべてのアクティブセッションの無効化を含む一連の防御策を実装した。
その結果、顧客は自動的にログアウトされ、二要素認証(2FA)が設定されていないアカウントは、アクセスを回復する前に有効化する必要がある。
PcComponentesはまた、顧客に対し、各アカウントで強力かつ固有のパスワードを使用し、パスワードマネージャーに保存し、フィッシングの可能性があるメッセージに警戒するよう推奨している。
BleepingComputerは、正確に何人の顧客が影響を受けたのかを尋ねるためPcComponentesに連絡したが、声明はすぐには得られなかった。
