ヨーロッパのフィットネス企業Basic-Fitは、ネットワーク全体で約100万人のメンバーに影響を与える大規模なデータ侵害を確認しました。
この事件はユーザーに大きな影響を与えました。オランダでは、侵害されたアカウントの20万件がこの国からのものでした。
この侵害は、大規模なデータセットを求める脅威アクターによる消費者向けライフスタイルプラットフォームへの継続的な標的化を浮き彫りにしています。
このサイバー事件は、Basic-Fitが所有する施設を支える中核的なIT基盤を標的にしていました。
ロイターの最近のレポートによると、不正アクセスは非常にセンシティブな個人および財務データを暴露しました。
同社は現在、フランス、ドイツ、スペインなどの主要市場を含む、6つの主要なヨーロッパ諸国で450万人以上の顧客にサービスを提供しています。
注目すべきことに、Basic-Fitはさらに6つの国でフランチャイズモデルを運営しています。これらのフランチャイズロケーションはまったく別のシステムアーキテクチャに依存しているため、メンバーデータは完全に隔離されたままであり、漏洩の影響を受けませんでした。
侵害されたデータとセキュリティへの影響
この侵害は、財務記録とともに多数の個人識別情報(PII)を暴露しました。流出したデータベースエントリには、メンバーの氏名、生年月日、連絡先情報、および銀行口座詳細が含まれています。
銀行情報の暴露は深刻なリスクをもたらしますが、Basic-Fitは脅威アクターが政府発行の身分証明書またはユーザーパスワードにアクセスしなかったことを明確にしました。
財務および個人データの組み合わせは、標的を絞ったソーシャルエンジニアリング攻撃のリスクを著しく高めます。
Basic-Fitの内部セキュリティ境界は、攻撃チェーンの初期段階で侵害を正常に検出しました。システム監視ツールは不正アクセスをリアルタイムで検出し、セキュリティチームが接続を遮断し、数分以内に活動を停止させることができました。
この迅速な封じ込めにもかかわらず、脅威アクターは相当な量のメンバーデータをスクレイプすることに成功しました。Basic-Fitは、個人記録の暴露について、影響を受けたすべてのメンバーに公式に通知しました。
盗まれたデータの性質を考えると、影響を受けた個人はスピアフィッシングおよび金融詐欺のリスクが高まります。メンバーは自分のアイデンティティと財務を保護するために、いくつかの保護措置を実施する必要があります:
- 不正なダイレクトデビットや疑わしい取引がないか、銀行の明細書を注視して監視してください。
- Basic-FitまたはそれにかかわるDMおよび提携銀行になりすましたフィッシングメールまたはSMSメッセージに対して、細心の注意を払ってください。
- 接続されているすべての財務および個人アカウントで多要素認証を有効にしてください。
- 未確認の発信者と電話で機密の認証コードまたはパスワードを共有しないでください。
翻訳元: https://gbhackers.com/basic-fit-suffers-data-breach/
