American Express credit cards exposed in third-party data breach
2024/03/04 BleepingComputer — American Express は、ハッキングされたのはサービス・プロバイダーではなく、加盟店における処理過程にあったと、3月4日に情報を更新した。つまり、このインシデントは、American Express からのデータ漏洩ではなく、同社の会員データが処理していた加盟店からのデータ漏洩であるとされている。また、American Express は、加盟店における処理過程でハッキングが生じ、第三者からデータ流出によるクレジットカード情報が流出したと顧客に警告している。
マサチューセッツ州に提出された、American Express Travel Related Services Company のデータ流出通知において、顧客のクレジットカードが盗まれた可能性があると、同社は警告している。
このデータ侵害の警告には、「多数の加盟店が契約している、第三者のサービス・プロバイダーのシステムが、不正アクセスを受けたことが判明した。顧客の口座情報を含む、カード会員のアカウント情報が巻き込まれた可能性がある。ただし、American Express が所有/管理するシステムが、このインシデントにより危険な状態に陥っているわけではない」と記されている。
今回の侵害により、顧客が所有する American Express カードの、口座番号/氏名/カードの有効期限データなどが、ハッカーにより不正にアクセスされた。何人の顧客が影響を受けたのか、どの加盟店プロセッサーが侵害されたのか、どの時点で攻撃が発生したのかなどは、現状では不明である。
BleepingComputer が American Express に対して、この情報流出に関する詳細を尋ねたところ、同社は取引関係や加盟店パートナーの詳細を開示せず、また、現時点では他の情報はないと回答した。しかし、American Express は、規制当局に対して必要な情報を通知し、影響を受けた顧客に警告していると述べた。
American Express は BleepingComputer に対して、「顧客に影響を与えるデータ・セキュリティ・インシデントを検知した場合には、速やかに調査を開始し、必要に応じて適切な規制当局に通知する。また、影響を受けた顧客を特定し、具体的な影響を把握した上で、適用される法律や規制の要求に従って通知するよう努めている」と述べている。
さらに同社は、カード会員のクレジットカードが不正購入に使用された場合には、その請求について顧客が責任を負うことはないと、BleepingComputer に述べている。
American Express は顧客に対して、今後の 12ヶ月~24ヶ月間の利用明細を確認し、疑わしい行為があれば報告するようアドバイスしている。また、American Express のモバイル・アプリでインスタント通知を有効にして、詐欺警告や購入時の通知を受け取るよう顧客に勧めている。
最後に、カード情報が盗まれた場合には、新しいカード番号の発行を依頼することを検討するとよいだろう。脅威アクターが盗んだクレジットカードは、サイバー犯罪のマーケット・プレイスで販売されることが一般的だからだ。
クレジット・カード情報の漏えいというのも、かなりの頻度で発生しているはずですが、こうしてニュースになるのは、その規模が大きかったということなのでしょうか? 2023年12月には、「BidenCash ダークウェブ・マーケット:190万枚のクレカ情報を無料で提供」という記事がポストされていました。よろしければ、カテゴリ Dark Web も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.