ShinyHuntersランサムウェア集団は、Match Groupに属する1,000万件のレコードを含むデータの窃取と、ベーカリーカフェチェーンPanera Breadから1,400万件のレコードを窃取したと主張しています。
Tinder、Match.com、Meetic、OkCupid、Hingeなど複数の人気オンラインデーティングサービスを運営するMatch Groupは、サイバーインシデントを確認し、データ侵害について調査中だとしています。
Panera Breadもインシデントの発生を確認し、当局に通報したとしています。同社はReutersへのメール声明で「関与したデータは連絡先情報です」と述べました。
ShinyHuntersはシングルサインオン(SSO)プラットフォーム経由でアクセスを得て、音声クローン技術を用いているようで、これによりさまざまな企業で侵害件数が増加しています。ただし、これらの侵害がすべて同じ影響をもたらすわけではありません。
影響
Match Groupについて、ShinyHuntersは次のように主張しています。
「AppsflyerからのHinge、Match、OkCupidの利用データ1,000万件超のレコードと、数百件の社内文書。」
Matchは、ログイン情報、金融データ、またはプライベートチャットが盗まれた証拠はないとしていますが、一部ユーザーの個人を特定できる情報(PII)および追跡データが対象に含まれるとしています。通知プロセスは開始されています。
Panera Breadについて、ShinyHuntersはPIIを含む1,400万件のレコードを侵害したと主張しています。
Panera Breadは、ハッカーがユーザーのログイン認証情報、金融情報、または私的な通信にアクセスした兆候はないとして、ユーザーを安心させています。
ShinyHuntersはこのほかBumblr、Carmax、Edmundsなども侵害していますが、ここではユーザーにとっての結果が大きく異なる2つの例としてPanera BreadとMatch Groupを取り上げたいと思います。
デーティングアプリでの活動が侵害されると、その影響は極めて個人的なものになり得ます。懸念は、パートナー、家族、雇用主にデーティングプロフィールが知られることから、ドクシングのリスクまで幅広く及びます。多くの人にとって、特定のアプリにまつわるスティグマは、カミングアウトさせられること、不貞を疑われること、さらには恐喝されることへの恐れにつながり得ます。
Panera Breadの侵害の影響はまったく異なるでしょう。「サンドイッチを注文しただけなのに、犯罪者が自宅住所を手に入れたの?」この種のデータは、既存のデータセットを拡充するのに役立ちます。そして相手が知っていることが多いほど、フィッシングの試みであなたをより容易に、より的確に狙えるようになります。
データ侵害後に自分を守る
自分が データ侵害の影響を受けたと思う場合は、次の手順で身を守れます。
- 企業の案内を確認する。 侵害はそれぞれ異なるため、何が起きたのかを企業に確認し、提示される具体的な助言があればそれに従ってください。
- パスワードを変更する。 変更することで、盗まれたパスワードを窃盗犯にとって無価値にできます。他では使っていない 強力なパスワード を選びましょう。さらに良いのは、 パスワードマネージャー に選ばせることです。
- 二要素認証(2FA)を有効にする。 可能であれば、FIDO2準拠のハードウェアキー、ノートPC、またはスマートフォンを第2要素として使用してください。2FAの一部はパスワードと同じくらい簡単にフィッシングされ得ますが、FIDO2デバイスに依存する2FAはフィッシングできません。
- なりすましに注意する。 窃盗犯は侵害されたプラットフォームを装ってあなたに連絡してくる可能性があります。公式サイトで被害者に連絡しているかを確認し、別の連絡手段を使って連絡してきた相手の 身元を確認してください。
- 時間をかける。 フィッシング攻撃は、知っている人物やブランドになりすまし、配達未着、アカウント停止、セキュリティ警告など、緊急対応を要するテーマを用いることがよくあります。
- カード情報を保存しないことを検討する。サイトにカード情報を記憶させるのは確かに便利ですが、小売業者が侵害を受けた場合のリスクが高まります。
- ID監視を設定する。これは、あなたの 個人情報 がオンライン上で違法に取引されているのが見つかった場合に警告し、その後の復旧にも役立ちます。
Malwarebytesの無料デジタルフットプリントスキャンを使えば、あなたの個人情報がオンライン上で露出しているかどうかを確認できます。
