Hacker Breaches Fast Company Apple News Account, Sends Racist Messages
2022/09/28 InfoSecurity — 火曜日の夜に Fast CompanyのApple News アカウントを侵害したハッカーが、ユーザーのホーム画面にわいせつなプッシュ通知を行った。米ビジネス誌である Fast Company は、同社のコンテンツ管理システム (CMS) に侵入した驚異アクターが、そのアクセス権を悪用して Apple News の購読者に対して、わいせつで人種差別的な、2件のプッシュ通知を行ったと、ソーシャルメディア上で認めた。
同社は昨夜の報道発表で、「このメッセージは下品であり、Fast Company の主旨や精神にそぐわないものだ。我々は、状況を調査しており、この状況が解決するまでFastCompany.com をシャットダウンしている」と述べている。
同出版社はまた、今回の侵害は、日曜の午後に同サイトのトップページなどに表示された、同種の文言によるハッキングに関連するものだとも述べている。その際に、同社はサイトを閉鎖したが、2時間後に復旧させたという。
早朝に Apple も、この事態にツイートで対応し、Fast Company の Web サイトがハッキングされたこと、および、Apple が同社の Apple News アカウントを停止したことを認めた。Apple は、「信じられないほど攻撃的なアラートが、ハッキングされた Fast Company から送信された。Apple News は彼らのチャンネルを無効化した」と述べている。
この Web サイトがオフラインになる前に、Thrax と名乗るハッカーが、Fast Company に侵入した方法を詳述する、記事を投稿したと報じられている。その投稿では、Fast Company のデフォルト・パスワードが “ばかばかしいほど貧弱” であり、管理者アカウントを含む複数のアカウントで、それらが使用されていると主張している。そして、脅威アクターは侵入したアカウントを用いて、認証トークンや Apple News API キーなどにアクセスしたと推測される。
ESET の global cybersecurity advisor である Jake Moore は、「通常、ハッキングに関連して、わいせつなメッセージやツイートが公開されると、若い感情や行動によると推測される。しかし、全体像そしては、より大きな潜在的な影響が生じる」と、Infosecurity Magazine に語っている。
実際のところ、その後にハッカーは、Optus 侵害の主体であったプラットフォーム BreachForums に投稿し、Fast Company の 6737 人の従業員記録を含む、データベースを公開していると述べている。
Moore は、「もし、管理者アカウントにも使われていたと考えられるなら、これは非常に大きな被害となる可能性がある。この件が、複数のツールを使っている、すべての企業にとって、個別のパスワードを使うように仕向ける、注意喚起になることを期待している」と付け加えている。
本稿の執筆時点では、Fast Company の Web サイトはダウンしたままである。また、Apple News 上の Fast Company のチャンネルが、いつになったら復活するかも不明である。
侵害したハッカーに、「デフォルト・パスワードが “ばかばかしいほど貧弱” であり、管理者アカウントを含む複数のアカウントで、それらが使用されている」と言われてしまうと、いちばん辛いですね。この記事では、詳細が分かりませんが、どのような CMS を使っているのでしょうか? また、Optus の侵害と、どのような関連性があるのでしょうか?続報が待たれます。
IoT OT Security News 
You must be logged in to post a comment.