Zendesk で顧客情報の漏洩が発生：従業員を狙った SMS フィッシングに起因

Compromised Zendesk Employee Credentials Lead to Breach

2023/01/21 DarkReading — SaaS 版の CRM (Customer Relationship Management) を提供する Zendesk が、2022年10月に脅威アクターによる不正アクセスを受け、顧客情報の漏洩が発生したこと明らかになった。ことの発端は、2023年1月13日に同社から顧客に送られたメールである。インシデントの詳細が記された Zendesk からのメールは、仮想ウォレット・サービスを提供する Coinigy により公開されたものだ。Coinigy は侵害に関する投稿で、「我々の顧客に開示する必要性を感じた」と述べている。

Coinigy が開示した Zendesk からのメールには、「今回の侵害は Zendesk の従業員を狙った SMS フィッシング・キャンペーンに起因する」と記されている。

同メールで Zendesk は、「coiningy.zendesk.com アカウントに属するサービスデータが、構造化されていないロギング・プラットフォームのデータに含まれていた可能性があることを確認した。ユーザーの coiningy.zendesk.com アカウントの Zendesk インスタンスに、脅威アクターがアクセスしたことを示唆する証拠はない」と詳述されている。

セキュリティ研究者の Jake Williams は、Coinigy が侵害の詳細を公にしたことを称賛する一方で、Zendesk の対応には不服であるようだ。

Williams は Dark Reading に対して、「Zendesk が公開した情報は曖昧で、”ロギング・プラットフォームに属する非構造化データ” に言及しているため、あらゆる可能性が考えられる。この情報開示は、どのような組織が、どのような対応をすべきかを評価するのに、十分な情報を与えていない」と語っている。

Coinigy 以外の Zendesk の顧客における、影響の発生の有無は発表されていない。また、DarkReading からの問い合わせに、Zendesk からの返答はまだない。

たしかに、この記事を読む限りでは、あまりにも曖昧で、何が起こっているのかが分かりませんね。これまでの、Zendesk に関するインシデントとしては、以下の記事があります。

2022/11/21：Algolia API キーが漏洩：Zendesk にデータ流出
2011/11/15：Zendesk Explore：GraphQL API で SQLi が発生

また、2022/07/29 「米政府から国民への警告：頻発する SMS フィッシング攻撃への対応について」も、よろしければ、ご参照ください。