- PcComponentesは侵害の主張を否定し、発生したのはクレデンシャル・スタッフィング攻撃のみだと確認
- ハッカーは1,630万件の記録が盗まれたと主張するが、同社は影響を受けたアカウントははるかに少ないとしている
- 今後のログインでは、セキュリティ強化のためCAPTCHAと必須の二要素認証が必要
スペインのPCパーツ小売業者PcComponentesは、大規模なデータ侵害を受けたことを否定した――ただし、クレデンシャル・スタッフィング攻撃を受けたことは認めた。
最近、あるサイバー犯罪者が地下フォーラムに新たなスレッドを投稿し、同社から機密データを盗み出したと主張した。アーカイブを販売するとして、‘daghetiaw’と名乗るハッカーは、そこに1,630万件の記録が含まれており、氏名、郵送先住所、IPアドレス、商品ウィッシュリスト、Zendeskを通じて生成されたカスタマーサポートのメッセージなどが含まれると述べている。
主張の信ぴょう性を示すため、ハッカーは50万件の記録のサンプルも公開した。
奇妙なキャンペーン
その直後、PcComponentesは自社サイトに告知を掲載し、侵害は一切なく、ハッカーの主張は虚偽だと述べた。
「当社のデータベースや内部システムへの不正アクセスはありませんでした」と、機械翻訳された告知によれば同社は述べている。
「影響を受けたとされる1,600万人という数字は虚偽であり、PcComponentesのアクティブアカウント数はそれより明らかに少ない。」
同社は続いて、調査の結果、クレデンシャル・スタッフィング攻撃を受けたことが判明したと説明した。脅威アクターがダークウェブ上の別の場所でログイン認証情報を入手し、それを同プラットフォームで試したという。
複数のサービスで同じパスワードを使い回している顧客が最も侵入されやすく、アカウントに保存していた情報はおそらく持ち去られた。
それでもPcComponentesはこの件についても重大視せず、影響を受けたのはごく一部の顧客で、盗まれたデータもそれほど重要ではないと述べた。
「同様に、不正アクセスは大規模ではなく、影響を受けたのは一部の顧客のみです」と同社は述べた。「PcComponentesは銀行情報を保存していないため、いかなる場合も銀行情報は侵害されていません。したがって、銀行情報が盗まれるリスクはありません」と説明した。
「顧客のパスワードは当社のデータベースに保存されることはありません。」
クレデンシャル・スタッフィングにより、サイバー犯罪者は氏名、ID、郵送先住所、IPアドレス、電話番号を入手できた。
今後は、ログインするすべてのユーザーがまずCAPTCHAを解く必要があり、さらに2FAを設定しなければならない。
翻訳元: https://www.techradar.com/pro/security/top-pc-components-store-denies-data-breach
