マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット(Marriott)は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット:Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood(スターウッド)は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル(約132億円)の罰金を科していた。

関連記事:データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

原文へ

(翻訳:Fumihiko Shibata)

米百貨店大手Macy’sが昨年に続きデータ漏洩

老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量のクレジットカード情報を盗まれた。米国カリフォルニア州検事総長への届け出によると、小売業の巨人はハッカーに顧客の名前、住所、電話番号ばかりかクレジットカード番号、カード認証コード、有効期限まで盗まれた。ハッカーはウェブサイトに有害なコードを送り込み、盗んだデータをハッカー宛に密かに送信していた。

Macy’sによるとデータ流出は10月7日から15日まで約1週間にわたった。被害にあった顧客の人数は公表されていないが、数千~数万人が影響を受けただろうと言われている。ハッカーがウェブサイトに侵入してクレジットカードをスキミングするマルウェアをインストールした例は過去に何度もあった。今回の事件の背後に誰がいたのかはわかっていないが、Magecartという名前で知られるハッキンググループは最近の大規模なクレジットカードスキミング事件に関わっている。アメリカがん協会ブリティッシュ・エアウェイズTicketmasterAeroGardenNeweggらが被害にあった。

昨年Macy’sは、1カ月に及ぶデータ漏洩を起こし、顧客ベースの約0.5%ぶんのクレジットカードデータとパスワードをハッカーに盗まれたことを認めた。Macy’sおよび同社傘下のBloomingdale(ブルーミングデールズ)のウェブサイトで起きた。この事件は集団訴訟を引き起こし、Macy’sのセキュリティー対策は「怠慢、無謀、不注意」であると糾弾された。AlexaのランキングによるとMacy’sは米国有数の人気ウェブサイトだ。.

関連記事:Meet the Magecart hackers, a persistent credit card skimmer group of groups you’ve never heard of

[原文へ]

(翻訳:Nob Takahashi / facebook

性的動画を配信する「キャムガール」サイトの個人情報が流出

人気の「キャムガール」(Camgirl、ウェブカムで撮った性的映像を流す女性)サイトを複数運営する企業が数百万件のセックスワーカーやサイト利用者の個人情報を漏洩した。バックエンドデータベースを非保護状態にしておいたためだ。

バルセロナ拠点のVTS Mediaが運営する問題のサイトは、amateur.tv、webcampornoxxx.net、 placercams.comの3カ所。Alexaのトラフィックランキングによるとamateur.tvはスペインで最大級の人気を持つサイトだ。

数週間にわたりパスワード保護なしに放置されていたそのデータベースには、サイトのアクティビティを記録した日々のログが数カ月分保管されていた。ログには、ユーザーがいつログインしたかなどの詳細な情報が、ユーザー名と共に、時には個人を特定可能なユーザーエージェントやIPアドレスと共に記録されていた。ユーザー同士の個別チャットや、ユーザーが様々なサイトから受けとったプロモーションメールも入っていた。さらには失敗したログインのユーザー名やパスワードが平文で保存されていた。それらの個人情報をテストすることは違法行為にあたるため本誌では行っていない。

流出したデータには、ユーザーが見たりレンタルしたビデオのタイトルも含まれており、個人の趣味や性的嗜好を暴露することになった。全体を通して、ログにはログインしたユーザー名、場所、多くのケースでメールアドレスなどの個人を特定できる情報が含まれているため、リアル世界の個人情報とのマッチングが可能なものもある。

影響を受けたのはユーザーだけではない。性的コンテンツを配信していた「キャムガール」たちのアカウント情報も暴露された。問題のデータベースは先週閉鎖され、本誌はこの件を発表することが可能になった。

セックスワーカーとユーザーアカウントデータ数百万件を流出させた「キャムガール」サイト(画像:TechCrunch)

サイバーセキュリティーとインターネットの自由の会社、Condition:Blackの研究者らが露出されたデータベースを発見した。「これは技術面からもコンプライアンスの観点からも深刻な障害である」とCondition:Blackのファウンダー、John Wethington(ジョン・ウェシントン)氏は語った。サイトのプライバシー規約を見ても、ユーザーは自分たちの行動をこのような詳細レベルで監視されているとは考えていなかったはずだ。

「ユーザーは自分のデータの漏洩には常に注意を払っているべきだが、それが人生を変える可能性がある場合は特にそうだ」とウェシントン氏は言う。

企業が不注意でシステムをアクセス可能にしてしまうデータ暴露は、近年ますます増えている。出会い系サイトは中でも特に繊細なデータを扱っている。今年、グループ・デーティングサイトの3Funは 100万人分以上のユーザーデータを露出し、それを見た研究者はユーザーのリアルタイムの位置情報を本人の許可なくアクセスすることができた。こうしたセキュリティー欠陥はユーザーを著しく傷つける可能性があり、個人の性的な出会いや嗜好という本人だけが知っているべき情報を晒してしまう。2016年に不倫専門サイトのAshley Madisonがハックされた事件の後には、家庭崩壊や自殺が複数報告された。

週末VTS Mediaに送ったメールは不達で戻っておりコメント要求はできていない。運営会社もサーバーも欧州にあることから、漏洩した性的嗜好情報は、GDPR規則で通常以上の保護が必要な「特殊カテゴリー」に該当する。企業はGDPR違反の罰金として年間売上の最大4%を支払う可能性がある。スペインのデータ保護期間(AEPD)は、時間外のコメント要求に対して返信していない。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

原文へ

(翻訳:Nob Takahashi / facebook

ホスティングサービスのHostingerで1400万人の個人データが漏洩

ウェブホスティングサービスを運営しているHostingerは、同社顧客数百万人の個人情報を含むデータベースへの不正アクセスを検出したため、「予防措置」としてユーザーパスワードをリセットしたと発表した。

データ侵害は米国時間8月22日に起きたとされている。同社はブログ記事で、サーバーの1台が不正にアクセスされたというアラートを受信したことを報告した。ハッカーは、ユーザー名とパスワードがなくてもシステムにアクセスできるアクセストークンを利用して、APIデータベースを含む同社のシステムをアクセスした。データベースには、顧客のユーザー名、メールアドレス、およびびSHA-1を使用して暗号化されたパスワードが格納されていた。SHA-1は、なりすましされる脆弱性が発見されて以来、使用中止が推奨されていた。同社はその後、パスワードのハッシングをより強力なSHA-2アルゴリズムに変更した。

Hostingerによると、問題のAPIデータベースには約1400万件の顧客レコードが格納されていた。同サービスには2900万人以上の顧客が登録されている。

同社は「現在関係当局と連絡をとっている」と語った。

hostinger

データ漏洩について説明するHostingerから送られたメール(画像は本誌へ提供されたもの)

データ漏洩のニュースは一夜にして広まった。同社のステータスページによると、同サービスのユーザーはパスワードのリセットに関するメールをすでに受け取っている。

同社によると、財務データに対する侵害はなく、顧客のウェブサイトファイルやデータも影響を受けていない。

しかしデータ漏洩の影響を受けたユーザーのひとりは、漏洩範囲について会社の発表は「誤解を招くものだ」と指摘している。

TechCrunchが見たチャットログによると、カスタマーサポート担当者が顧客に対して、顧客の財務データがそのAPI経由で入手できるというのは「正しい」が、会社はそこに「支払情報を格納していない」と伝えていた。

HostingerのCEOであるBalys Kriksciunas氏はTechCrunchに、カスタマーサポート担当者の説明は「誤解を招く」ものであり、顧客の財務データは一切流出していないと語った。ただし、本データ漏洩に関する企業捜査は続行中だ。

関連記事

[原文へ]

(翻訳:Nob Takahashi / facebook

米金融大手キャピタル・ワンで1億人の個人データが流出

米金融大手でクレジットカード発行者でもあるCapital Oneが侵入をを受けたことを公表した。侵入行為が最初に発覚したのは7月19日だった。

現在同社のウェブページにデータ侵害に関する告知が掲示されている。

現在TechCrunchで把握していることは以下のとおり。

  • Capital Oneは、2005年から2019年の間に登録されたクレジットカード申請データが漏洩したと認識している。
  • 同社によると、約1億人の米国ユーザーおよび600万人のカナダユーザーが対象になっている
  • 漏洩した可能性のあるデータには「氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、および自己申告による年収」のほか「信用スコア、貸し出し限度額、残高、支払履歴、連絡先情報」が含まれる。
  • Capital Oneの推測によると、米国ユーザー約14万人の社会保障番号と8万件の銀行口座番号が盗まれた。カナダでは約100万人の社会保険番号が侵害された。
  • 2016年、2017年、2018年にわたる延べ23日分の取引データが何者かに取得された。

司法省の告示によると、シアトルのエンジニア、Paige A. Thompsonが本データ侵害の疑いで米国時間7月29日に逮捕された。 起訴状の内容はここで読める。告示には、Capital Oneは、他のユーザーが同社サイトについて投稿したのを見たGitHubユーザーから侵害の知らせを受けたと書かれている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Anthem情報盗難事件で米司法省が中国人ハッカーを起訴

米司法省は、2015年に発覚した7880万人の個人情報が盗まれた大手医療保険会社Anthemのデータ漏洩に関わったとして中国人ハッカーを起訴した。

Fujie Wang(32才)と、名前が明らかになっていない中国拠点のハッカーグループのメンバーは、詐欺や情報窃盗、コンピューターハッキングなど4つの罪で起訴されている。

このデータ漏洩では、名前、住所、生年月日、雇用・収入データ、ソーシャルセキュリティ番号、そのほか極めて機密性の高い医療情報が盗まれた。

ハッカーグループは他にもテック企業、素材企業、通信大企業の3社へのハッキングでも告発されていて、告発状ではいずれの社名も伏せられている。

検察は、ハッカーが「被害を受けた企業のコンピューターネットワークに無断で侵入するのに、スピアフィッシングを含む洗練されたテクニックを使った」と述べている。そしてハッカーたちは、Anthemのシステムに侵入した後、情報を盗むまで「辛抱強く数カ月待った」とされている。

ハッカーたちはまた、2014年10月から11月にかけて、膨大な量の保管ファイルをAnthemのデータウェアハウスから中国へと転送し、7800万人の記録を盗んだとされている。

Anthemは2015年2月にデータ漏洩を明らかにし、その後データ漏洩に関する訴訟の和解金として1億1500万ドルを支払った。

「今日公開された起訴状では、史上最悪のデータ漏洩の1つを犯した中国拠点の煩わしいハッカーグループの活動の概要が述べられている」と検事補のBrian Benczkowski氏はコメントした。「被告らは4つの産業分野で操業している米企業を攻撃し、個人を特定できる情報を盗んで7800万人のプライバシーを侵害した」。

Wang被告は現在FBIに指名手配されている。

[原文へ]

(翻訳:Mizoguchi)

ワシントンDC司法長官、FacebookのCambridge Analyticaスキャンダルを巡り訴訟

すでにユーザーたちの目は、Facebookの次の非道に向けられているかもしれないが、同社は今年前半のプライバシー問題の処理に今も追われている。

ワシントンDCのKarl Racine司法長官は水曜日(米国時間12/19)、Facebookを訴訟し,同社がユーザーデータ保護の責任を果たしていないと主張した。具体的にはCambridge Analyticaスキャンダルを取り上げ、Facebookの第三者とのデータ共有ポリシーが緩慢だったために、ユーザーの個人データが本人の許可なく金銭目的で収集されたと指摘した。

「Facebookはユーザーのプライバシー保護を怠り、データを誰がアクセスし、どのように使われるかを偽って伝えていた」と司法長官は訴訟理由を説明した。「Facebookは、Cambridge Analyticaなどの会社やその他のサードパーティーアプリケーションがユーザーの許可なく個人データを収集することを許し、ユーザーを危険にさらした。今日の訴訟はFacebookが約束を守り、ユーザーのプライバシーを保護することも求めるものだ」

発表によるとワシントンDCの司法長官事務局はFacebookに対して、ユーザーデータの共有を監視する「プロトコルとセーフガード」の実施と、ユーザー保護を容易にするプライバシーツールの実装を要求する強制命令の発行を見据えている。訴訟全文は以下に貼り付けてある。

[原文へ]

(翻訳:Nob Takahashi / facebook

Uberは2016年にデータ漏洩事件を起こし、5700万人の乗客とドライバーが影響を受けていた

Uberは2016年にデータ漏洩を引き起こし、乗客とドライバーの両方を含む5700万人に影響を与えていた。漏洩したのは名前、電子メールアドレス、そして電話番号だ。その影響を受けたグループには、5000万人の乗客と700万人のドライバーが含まれていたが、ブルームバーグからの新しいレポートによれば、およそ60万人分の米国人ドライバーのライセンス番号も含まれていたということだ。

Uberはこの事件を規制当局や影響を受けた顧客たちに報告しておらず、その代わりに、レポートによれば、漏洩の事実を口外せずデータを削除することと引き換えに「ハッカーたち」に対して10万ドルを支払ったということだ。さらに、セキュリティに影響を及ぼす可能性のある番号や、顧客の移動履歴情報などは攻撃によって奪われておらす、漏洩した情報もこれまでに利用されたとは考えられていないとレポートには書かれている。しかしどこに責任があるのかは書かれていない。

Uberの新CEOであるDara Khosrowshahiは、ブルームバーグに対して電子メールで、事件の「言い訳はしない」が、「これは起こってはならないことだった」と考えていると語っている。共同創業者のTravis Kalanickが同社を去ったあと、その後任として8月にこの配車サービス会社のCEOとして着任したKhosrowshahiは、その攻撃以降、Uberは脆弱性を取り除き、セキュリティ指標を引き上げたが、報告の義務を果たしていなかったと語った。

ブルームバーグによれば、Kalanickは事件の起きた1ヶ月後の2016年11月には、早くもハックの事実を知っていた。Uberのセキュリティ担当役員(CSO)であるJoe Sullivanと、CSOの主席代理人の2人もまた今週会社を去った。サイバー攻撃の事実の秘匿に中心的役割を果たしていたためだ。

レポートによれば、攻撃者は、Uberエンジニアたちが使っていたプライベートのGitHubサイト用の、Uber Amazon Web Servicesアカウントのログイン認証情報を得ることによって、攻撃が可能になったということだ。

漏洩について書かれたブログ記事では、Khosrowshahiはどのように同社が事故の影響に対処するかについての計画を述べている。たとえば、元NSAの担当弁護士を招聘し、Uberのセキュリティ規約を作成し、ライセンス番号が漏洩したドライバーたちに対しては通知を行なう。Uberは、ドライバーたちに対して通知を行なうだけでなく、クレジット調査やID盗難防止サービスも同時に提供している、とはいえプログポストの中には「事件と関連すると思われる詐欺や不正使用の兆候は見つかっていない」と書かれている。

私たちはUberにさらなるコメントを求めている。もし回答を受け取った場合には記事を更新する。

[原文へ]
(翻訳:Sako)

FEATURED IMAGE: DAVID PAUL MORRIS/BLOOMBERG VIA GETTY IMAGES

Weeblyが管理する4300万件のユーザーデータが流出

weebly-promote

流出したデータに関する情報提供サイトのLeakedSourceからの報告により、Webサイト製作プラットフォームのWeeblyが今年の2月にハッキングの被害にあっていたことが分かった。Weeblyが管理するパスワードは強力なハッシング・アルゴリズムであるBCryptを使ってハッシュ化されてはいたが、4300万以上のアカウントのユーザーネーム、パスワードが流出したという。

Weeblyがユーザーに送ったemailでは、ユーザーネームとパスワードに加えてユーザーのIPアドレスも漏洩したことが報告されている。

Weeblyは同社のユーザに対し、「ユーザーの皆様のWebサイトが不正にアクセスされているという形跡はありません」と説明し、同社はクレジットカード情報を管理しておらず、ユーザーのクレジットカードが不正に利用されることも考えにくいとのこと。

LeakedSourceは匿名の情報源からWeeblyのデータベースを受け取り、Weeblyにデータ漏洩の可能性を伝えた。LeakedSourceによれば、Weeblyのユーザーにはデータ漏洩の事実を伝えるEメールが送られたのと同時に、リセットされたパスワードが発行されている。だが、もし読者がWeeblyユーザーであり、パスワードのリセット報告を受け取っていなかったとしても、どのみちパスワードを変更しておいた方がいいだろう。

Weeblyの件に加えて、LeakedSourceはFoursquareのユーザーデータが2013年12月に流出していたことを発見し、同社が管理する2250万件のユーザーデータが漏洩したと報告した。一方でFoursquareはそれに対して異議を唱え、ユーザーのメールアドレスは外部からもアクセス可能なデータと相互参照できるようになっているだけだと主張した。メールアドレスだけではなく、ユーザーネーム、FacebookとTwitterのIDなどのデータはFoursquareのAPIや検索機能を操作して入手された可能性があるということだ。

Foursquareの広報担当者は「私たちは内部調査を実施しましたが、データが漏洩した形跡はありませんでした」と説明している。

今回の件は最近頻発するデータ流出事件の一部に過ぎない。先日にはYahooから5億件のユーザーデータが流出し、Dropbox、MySpace、Tumblrでも同様の事件がおきるなど、今年になってデータ流出事件が頻発している。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter