同社は、自社システムにセキュリティ侵害の証拠はないと主張する一方で、第三者が別の場所での漏えいから入手したメールアドレスとパスワードを使用した可能性を検知したとしている。
スペインのオンライン電子機器小売業者PcComponentesは、ハッカーが顧客データを盗んだとする主張を否定した。
Hackmanacが開発・運用する戦略的サイバー脅威インテリジェンス・プラットフォームHackrisk.ioは、「daghetiaw」という別名を名乗る悪意ある人物が同社のEC企業をハッキングしたと主張していると報告し、同主張の検証を試みていると付け加えた。
Hackrisk.ioによると、このハッカーは納税者番号、注文、請求書、住所、連絡先情報、Zendeskチケット、クレジットカードのメタデータ、IPアドレス、購入情報など、1,630万人分に関するデータを盗んだとされる。同プラットフォームは、PcComponentesからのデータ窃取の証拠として、ハッカーが50万行のサンプルを共有したと指摘している。
CSOはPCComponentesに連絡し、同社は声明を発表して、データベースや内部システムへの不正アクセスはなかったと説明した。
声明では「当社が検知したのは、サイバーセキュリティで『クレデンシャル・スタッフィング』として知られる現象です。これは、第三者がPcComponentesの外部で侵害されたデータベースにおけるセキュリティ侵害から入手したメールアドレスとパスワードを使用したことを意味します」と述べ、さらに「影響を受けたデータのカテゴリは、氏名、姓、ID番号(顧客が入力している場合)、住所、IP、メールアドレス、電話番号です」と付け加えた。
PcComponentesは「影響を受けたとされる1,600万人という数字は誤りで、PcComponentesのアクティブアカウント数はそれより大幅に少ない。さらに、不正アクセスは広範囲ではなく、一部の顧客のみが影響を受けた」と述べた。
また、銀行情報はいかなる場合も漏えいしていないと説明し、「PcComponentesはそれらを保存しておらず、支払いを識別するために使用されるセキュリティコード(トークン)のみを保持していますが、これによりカード情報の表示や、それ単独での請求はできません。このコードは決済システム外では価値がなく、不正に使用することはできません。このため、銀行情報が盗まれるリスクはありません」とした。顧客のパスワードについても同様で、「パスワードは当社のデータベースに保存されることはありません。代わりに、秘密の暗号化コード(ハッシュ)に変換されます。このコードは不可逆であるため、当社も第三者も元のパスワードを見ることはできません」としている。
最後にPcComponentesは、このインシデントの影響を最小化することを目的とした一連の対策を実施したと報告しており、これにより「アカウント保護が大幅に強化され、インターネット上に公開されているPcComponentes外部の侵害データベースからの不正アクセスのリスクが低減される」としている。
この記事は元々Computerworld/CSO Españaに掲載された。
