オンラインショッピングサービスのInstacartによると、最近多発しているアカウント侵犯の原因はパスワードの再利用だという。今や数十万のInstacartユーザーの個人情報が盗まれてしまい、ダークウェブで販売されている。
米国時間7月23日の発表によると、調査の結果、Instacart自身は侵害されていないが、ハッカーは他のサイトを侵害したときにユーザー名とパスワードのリストを入手し、それらをそのまま別のアカウント破りに利用している(Instacartブログ)という。
「今回の場合、第三者の悪意ある者たちが、以前に他のウェブサイトやアプリを侵害して得たユーザー名とパスワードを使って、一部のInstacartアカウントにログインしたと思われる」と声明で述べている。
その記事でInstacartのスポークスパーソンはBuzzFeed Newsに対して「盗まれたデータは米国とカナダにいる数百万のInstacartユーザーのごく一部」だと話している。
本当に悪いのはパスワードを再利用したユーザーだろうか?それともパスワードの再利用に対する防止策を何もしていなかった企業だろう?
もちろん、悪いのは両方だ。インターネットのユーザーは各ウェブサイトごとにユニークなパスワードを使うべきだし、パスワードを記憶するためにパスワードマネージャーをインストールすべきだ(未訳記事)。またハッカーにパスワードを盗まれても自分のオンラインアカウントに侵入されないためには、できるかぎり二要素認証を使うべきだ(未訳記事)。サイトがその都度ユーザーの携帯電話にコードを送るため、ハッカーには見られないそのコードを第二のパスワードとしてアカウントを保護するのだ。
しかしInstacartは、すべてをユーザーの責任にすることはできない。Instacartは未だに二要素認証をサポートしていない。ユーザーが二要素認証を有効にしていたら、最初からアカウントのハッキングは防げたはずだ。私が確認したかぎりでは、Instacartには二要素認証を有効にするオプションがないし、サイトのどこにもこのセキュリティ機能への言及がない。
Google(グーグル)が2019年に発表したデータによると、最も基本的な二要素認証でも、ロボットによる自動化された認証情報盗みをかなり防ぐことができる。
二要素認証をサポートする計画があるかという質問に対してInstacartのスポークスパーソンであるLyndsey Grubbs(リンジー・グラブス)氏は、同社がすでに発表している上記の声明を紹介するだけだった。
「セキュリティは最もプライオリティが高いものであり、セキュリティ担当のチームもある。また多層的なセキュリティの仕組みにより、すべてのユーザーのアカウントとデータを保護している」とInstacartはいう。
しかし、二要素認証のような基本的なセキュリティ機能がなければ、Instacartのユーザーは自分のアカウントを守れない。現在のInstacartには、それを期待することはできない。
関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5
画像クレジット:Patrick T. Fallon/Bloomberg/Getty Images