Social Blade Confirms Data Breach Exposing PII on the Dark Web
2022/12/16 InfoSecurity — ソーシャルメディア・データ分析ツールである Social Blade は、同社のシステムが 12月14日に侵害され、流出した PII (Personally Identifiable Information) がダークウェブに売りに出されていることを発表した。このインシデント関して、同社は公に警告を出さなかったが、電子メールで直接にユーザーに対して警告を発している。最近のことだが、ユーザーの1人が、アグリゲーター・プラットフォーム Ycombinator に、そのメールの内容を投稿した。
その Social Blade からのメールには、「12月14日に当社のユーザーデータ・ベースのエクスポートを、ある個人が不正に取得し、ハッカーフォーラムで販売しようとする、データ侵害の可能性について通知を受けた。投稿されたサンプルにより、それが本物であることを確認した。この人物は、当社の Web サイトの脆弱性を悪用して、データベースにアクセスしたようだ」と記されている。
Social Blade は、窃取されたデータにクレジットカード情報が含まれないことを確認したが、電子メール/IP アドレス/自宅住所/パスワード・ハッシュなどの、PII とみなされるデータなどが含まれていると述べている。
同社は、「アカウントのパスワード・ハッシュが流出したが、パスワードは平文で保存されていないので、その安全性は確保されている」と付け加えている。
KnowBe4 の Security Awareness Advocate である Erich Kron によると、今回のケースにおいてパスワードがハッシュ化されていたことは良いことだが、この種の情報がソーシャルエンジニアリングにより悪用されると、さらに言うと、特に価値の高いターゲットに対して悪用されると、よりリアリティのある攻撃が仕掛けられると述べている。
なお、Social Blade から流出した内部データには、ビジネス API ユーザーのクライアント ID/トークン/接続アカウントの認証トークンといったものも含まれていた。
同社は、「今回の驚異アクターが、システムにアクセスするために使用した方法に対しては、すでに対処が済んでおり、今後のインシデントを防ぐために、すべてのシステムのセキュリティを強固にするレビューを行っている」と説明している。
Erich Kron は、「今回のケースで、Social Blade が迅速に声明を出し、きわめて前向きな姿勢を見せたことに感心した。今後、数多くの組織が侵害される可能性があることを考えると、この方式は賞賛されるべきものだ」と述べている。
さらに、このセキュリティ専門家は、標的型電子メールのフィッシング/ビッシング/スミッシング攻撃が増加する可能性があることに注意するよう、今回の情報漏えいの被害者たちに呼びかけている。
Kron は、「パスワードはハッシュ化されていたが、それを変更することを推奨する。そして、新たしいパスワードが、このサイト専用のものであり、他では使われていないことを確認する方がよいだろう」と述べている。
Surfshark の 10月レポートによると、2022年 Q3 にデータ侵害は 70% 増加している。そして Q4 も、オーストラリアを中心にさらに増加しているという。
Social Blade の Web ページには、「すべてのユーザーが公開データベースにアクセスできる。この公開データベースは、あらゆるコンテンツ・クリエーター、ライブ・ストリーマーなどの分析を提供する。 人気の YouTube クリエーターや、特定のゲームをプレイしている Twitch ストリーマーなどを探すケースにおいて、Social Blade は、あなたをカバーする」と記されています。このサービスを利用するユーザーが提供する PII が、漏れてしまったということなのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.