Verizon(ベライゾン)傘下の格安携帯通信キャリアであるVisibleは、一部のユーザーアカウントがハッカーにアクセスされ、不正に請求されたことを確認した。
The Vergeが最初に報じたこの事件は、今週初め、Visibleの顧客がソーシャルメディアで彼らのアカウントが乗っ取られたと報告したことで明らかになった。Eメールアドレスとパスワードが何者かに変更されたという報告や、Visibleのアカウントから不要な請求が行われたという報告が多数寄せられた。
ある顧客は、自分のアカウントがハッキングされ、そのユーザーが接続しているPayPal(ペイパル)アカウントでiPhoneが購入されたとVisibleのsubredditに書き込んでいた。また、24時間以内に3台のiPhoneが自分の名前で注文されたというユーザーもいた。「毎回、異なる配送先 / 請求先住所だった」とのこと。
Visibleは当初この問題について沈黙を守っていたが、同社は米国時間10月13日にTwitter(ツイッター)で「脅威アクターが外部からユーザー名やパスワードにアクセスし、その情報を利用してVisibleアカウントにログインしていました」と確認した。これに加えて、複数のアカウントでパスワードを再利用しないようにというフォローアップのツイートがあったことから、影響を受けたユーザーは大規模なクレデンシャルスタッフィング攻撃(パスワードリスト型攻撃)の被害者である可能性が高いと考えられる。そうした攻撃では一般的に、ユーザー名やEメールアドレス、対応するパスワードのリストからなる盗まれたアカウント認証情報が、自動化されたログインリクエストを通じてアカウントへの不正アクセスに使用される。
これはVisible自体が侵害されていないことを示唆しているが、多くの顧客は、同社が2ファクタ認証(2FA)に対応していないことを強調している。これにより、アカウントの乗っ取りを防ぐことができたかもしれない。
TechCrunchは、Visibleに2FAを有効にする計画があるかどうか尋ねたが、今のところ回答は得られていない。同キャリアは、影響を受けたユーザーの数をまだ明らかにしていない。
We're aware of an issue in which some member accounts were accessed and/or charged without their authorization. As soon as we were made aware of the issue, we initiated a review & deployed tools to mitigate the issue, enabling additional controls to further protect our members.
— Visible (@Visible) October 13, 2021
The Vergeに寄せられた声明の中で、同社は次のように述べている。「Visibleは、一部のメンバーアカウントが不正にアクセスされ、請求されていた問題を認識しています。問題が判明したあとすぐに調査を開始し、問題を軽減するためのツールの導入し始め、お客様をさらに保護するための追加管理を可能にしました」。
「お客様のアカウントの安全性を含め、お客様の情報を保護することは、当社およびお客様にとって非常に重要なことです。なお、当社が電話でお客様のパスワード、秘密の質問、アカウント暗証番号をお尋ねすることはありません。お客様のアカウントが侵害されたと思われる場合は、visible.comのチャットでご連絡ください」とも。
Visibleのsubredditによると、同社は今後「商品を購入する際には、追加のセキュリティ対策として、支払い情報の再確認が必要となります」と顧客に伝えているという。また、同社はユーザーに対し、特に複数のサービスで使い回されているパスワードを再設定するよう勧めている。
関連記事:米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
画像クレジット:Visible
[原文へ]
(文:Carly Page、翻訳:Aya Nakazato)