ネット上の怪しい活動を検知したTaskRabbitがユーザーのパスワードをリセット

TaskRabbit(タスクラビット)は、ネットワーク上の「怪しい活動」を検知し確認したとして、無数の顧客のパスワードをリセットした。

IKEA(イケア)が所有するオンデマンドの家事代行マッチングマーケットプレイスであるTaskRabbitは、十分な注意を払いつつユーザーのパスワードをリセットし、「ユーザーアカウントへの不正アクセスを防止する対策を講じた」と、TaskRabbitの広報担当者はTechCrunchに話した。

同社は後に、それがクレデンシャルスタッフィング攻撃であったことを認めた。これは、漏洩によって入手したユーザー名やパスワードを使い、別のウェブサイトのアクセスを試みるという攻撃だ。

「私たちは十分な注意を払って行動し、多くのTaskRabittアカウントのパスワードをリセットしました。これには、2020年5月1日からログインしていないすべてのユーザーと、そのほとんどがユーザーによる通常の利用ではあったものの、攻撃の最中にログインしていたすべてのユーザーが含まれます」と広報担当者は述べた。

「TaskRabbitコミュニティの安全とセキュリティが最優先であることに、変わりはありません。今後もユーザーの個人情報を守るために警戒は怠りません」と広報担当者はいう。

TaskRabbitの利用者は、具体的な理由は明かさず「セキュリティ上の予防措置」としてパスワード変更を行ったとだけ書かれた漠然とした電子メールで、この件を知らされた。TechCrunchは、このメールが本物であることを確認している。

TaskRabbitの利用者に送られたパスワードのリセットを伝えるメール(画像クレジット:Sarah Perez/TechCrunch)

利用者情報やアカウント情報の漏洩によって、個人情報が盗まれたり不正アクセスされるというセキュリティ上の問題が生じた際に、企業がパスワードのリセットを行うのは珍しいことではない。

2019年、アパレル系のオンラインマーケットプレイスStockX(ストックエックス)は、当初「システム更新」のためのとして利用者のパスワードをリセットしたが、実はネットワーク上の怪しい活動を発見した(未訳記事)後の行動だったことを認めている。数日後、あるハッカーが、680万件のStockXのアカウント記録(未訳記事)が同社のサーバーから盗まれていたとTechCrunchに教えてくれた。

TaskRabbitのフリーランスを対象とした労働力マーケットプレイスは2008年に創設され、条件の交渉ができる仕事やお使いのオークション型プラットフォーム(未訳記事)から、利用者と請け負い業者とをマッチングさせる、より成熟した利用者ごとに対応したマーケットプレイスに成長した。やがてそれはIKEAの目に留まり、TaskRabbitがストラテジックバイヤーの市場で買い手を探し始めた2017年9月、IKEAは同社を買収した。

しかし買収後1年目に、TaskRabbitは「サイバーセキュリティ事故」のためにウェブサイトとアプリを閉鎖する事態(未訳記事)に追い込まれた。同社は、システム攻撃で不正アクセスされたと後に公表(未訳記事)している。TaskRabbitの当時のCEO、Stacy Brown-Philpot(ステイシー・ブラウン・フィルポット)氏によれば、同社は、攻撃によってどの顧客情報が危険にさらさたかを特定するために外部の犯罪捜査チームと契約し、ユーザーと仕事の提供者の双方に対して、アカウントが怪しい活動に狙われていないか監視を続けるよう警告を発したという。

同社は攻撃の後、数々の新しいセキュリティ対策を導入し、それによりログイン時の安全性がさらに強化されると話している。また、仕事を依頼する側と受ける側の双方のデータのうち、保管されるものの量を減らし、さらに「ネットワークのサイバー犯罪の検知技術を全体的に強化する」とも話していた。

ブラウン・フィルポット氏は、2020年の初めにTaskRabbitを去り(未訳記事)、以来CEOは、元Airbnb(エアービーエヌビー)とUber Eats(ウーバー・イーツ)のAnia Smith(アニア・スミス)氏が務めている(PR Newswire記事)。

関連記事:Ikea、便利屋サービスのTaskRabbitを買収

カテゴリー:セキュリティ
タグ:TaskRabbitサイバー攻撃データ漏洩

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)