信用情報会社トランスユニオン(NYSE: TRU)は、440万人以上の個人情報がデータ侵害によって漏洩したことを通知しています。
この事件は2025年7月28日に発生し、2日後に発覚したと、同社はメイン州司法長官事務所への提出書類で明らかにしました。
トランスユニオンによると、このデータ侵害はサードパーティのアプリケーションに保存されていた個人情報が対象で、氏名、社会保障番号、生年月日などが含まれていました。
「情報は特定のデータ要素に限定されており、信用報告書や主要な信用情報は含まれていません」と、影響を受けた個人に送付された通知書で同社は述べています。
トランスユニオンはメイン州司法長官事務所に対し、4,461,511人がこのデータ侵害の影響を受けたこと、そしてこれらの人々に24か月間の無料クレジットモニタリングサービスと積極的な詐欺対策支援を提供していることを伝えました。
信用情報会社は、この事件に関与したサードパーティのアプリケーション名は明かしておらず、米国の消費者サポート業務で使用されていたとだけ述べています。
しかし、このデータ侵害はSalesforceの顧客を狙った広範なデータ窃盗攻撃と関連しているようで、悪名高い恐喝グループ「ShinyHunters」が関与していたと、BleepingComputerが報じています。
トランスユニオンが漏洩したと報告した個人情報に加え、住所、メールアドレス、電話番号も盗まれたとハッカーは主張しています。
広告。スクロールして続きをお読みください。
SecurityWeekはハッカーの主張についてトランスユニオンにコメントを求めており、同社から回答があれば本記事を更新します。
8月初旬、Googleは自社のSalesforceインスタンスに関するデータ侵害を公表しました。これは、6月にUNC6040という音声フィッシング攻撃を専門とする脅威アクターが大規模なSalesforceデータ窃盗および恐喝キャンペーンを展開していると警告した後のことです。
GoogleはUNC6040をScattered Spiderと関連付けており、同グループはShinyHuntersと合流した模様です。最近明らかになったAdidas、Allianz Life、Cisco、Dior、Louis Vuittonなどの企業へのデータ侵害も、Salesforceハッキングキャンペーンの一部とみられています。
関連記事: Salesforce顧客数百社が大規模なデータ窃盗キャンペーンの被害に
関連記事: サイバー攻撃でネバダ州の州政府機関が閉鎖
翻訳元: https://www.securityweek.com/transunion-data-breach-impacts-4-4-million/