オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。