過去の侵害から寄せ集められた内容ではあるものの、260億件の記録を含む新たな12TBのデータベースが、セキュリティ研究者によってオンライン上で露出しているのが発見された。
この大量データはCybernewsと著名なセキュリティ研究者ボブ・ディアチェンコが、アクセスに認証を必要としない公開状態のインスタンス上で発見した。
流出した記録には、Tencentの顧客に属する15億件、中国版TwitterともいえるWeiboの5億件に加え、MySpace(3億6000万件)、Twitter(2億8100万件)、LinkedIn(2億5100万件)、Adobe(1億5300万件)およびさらに多数が含まれている。
ただし、この流出によって、これまで未発見だった侵害が新たに公になった可能性は低い。
「これまで報告または売買されたあらゆるデータ侵害が、正体不明の人物によって慎重に収集され、設定不備のあるインスタンスに置かれていた」とディアチェンコは説明した。
Every single data breach ever reported or sold was carefully collected by an unknown actor and left in a misconfigured instance. I’d say it is even bigger than @troyhunt‘s HIBP. https://t.co/ZyMqT0nLO8
— Bob Diachenko 🇺🇦 (@MayhemDayOne) January 22, 2024
また、そこには相当数の重複が含まれている可能性も高い。
KnowBe4のデータ主導防御エバンジェリストであるロジャー・グライムズは、「今やこの世界のほとんどの人は、自分の個人情報の少なくとも一部がインターネット上で入手可能になっていると正しく考えている」と述べた。
「多くの場合、それはソーシャルエンジニアやフィッシングメールにだまされたことが原因です。別のケースでは、侵害されたウェブサイトやデータベースが原因です。いずれにせよ、私たちの大半は、私的情報の一部がインターネット上に出回り、誰でも入手できる状態になっています。悲しい現実です。」
記録のうちどれほどがパスワード/メールアドレスの組み合わせなのかは不明だが、この発見はクレデンシャルスタッフィング攻撃の再燃を促す可能性がある。
ESET のグローバル・サイバーセキュリティ・アドバイザーであるジェイク・ムーアは、アカウントを安全に保つため、ベストプラクティスに沿ったサイバー衛生を忘れないようユーザーに呼びかけた。
「これほど限られた情報でサイバー犯罪者が成し得ることを、私たちは決して過小評価すべきではありません。被害者は盗まれたパスワードの影響を認識し、それに応じて必要なセキュリティ更新を行う必要があります」と彼は述べた。
「これには、パスワードの変更、侵害後に届くフィッシングメールへの警戒、影響の有無にかかわらずすべてのアカウントに二要素認証を設定することが含まれます。」
メガ侵害に関する続きを読む:パスワードの使い回しが60%に、15億件の組み合わせがオンラインで発見
より影響の大きい発見はおそらく先週なされた。侵害通知サイトHaveIBeenPwned(HIBP)が、「Naz.API」 リストとして知られる、ユーザー名/パスワードのペアの巨大コレクションを公開したのだ。
このデータは、情報窃取型マルウェアおよび過去の侵害に由来するクレデンシャルスタッフィング用リストから入手された。
HIBPの作成者であるトロイ ハントは、この大量データの中に7100万件のユニークなメールアドレスを特定し、その3分の1がHIBPに掲載されていないと警告した。つまり、これは「相当量の新しいデータ」であり、その後ユーザーのアカウントにアクセスするために悪用され得るという。
翻訳元: https://www.infosecurity-magazine.com/news/mother-breaches-unlikely-new-data/
