Payment gateway data breach affects 1.7 million credit card owners
2024/09/09 BleepingComputer — 決済ゲートウェイ・プロバイダーである Slim CD は、約 170万人分のクレジットカード情報と個人データが奪われるという、データ侵害について明らかにした。同社は、影響を受けた顧客に送付した通知の中で、2023年8月〜2024年6月の1年近くにわたってハッカーがネットワークにアクセスしていたと述べている。Slim CD は、決済処理ソリューションのプロバイダーであり、Web/モバイル/デスクトップのアプリを介して、ユーザー企業に対して電子決済やカード決済を提供している。
2024年6月15日の時点で、同社はシステム上での不審なアクティビティを検出した。その調査において、同社が発見したのは、2023年8月17日以降において、ハッカーがネットワークにアクセスしていたことである。
影響を受けた個人への通知には、「当社の調査により、2023年8月17日〜2024年6月15日において、不正なシステム・アクセスがあったことが判明した」と記されている。
その一方で Slim CD は、2024年6月14日と15日の2日間において、脅威アクターがクレジットカード情報にアクセス/閲覧したと述べている。
Slim CD はデータ侵害通知において、「このアクセスにより、権限のない脅威アクターが、2024年6月14日と15日の2日間において、特定のクレジットカード情報を閲覧/入手した可能性がある」と付け加えている。
権限のないアクターが、アクセスした可能性のあるデータの種類は次のとおりである:
- Full name
- Physical address
- Credit card number
- Payment card expiration date
これらの不正に取得された情報には、Card Verification Number (CVV) が欠落しているため、不正な取引を行うサイバー犯罪者にとって十分なものではないが、依然としてクレジットカード詐欺のリスクは存在する。
今後において Slim CD は、同様のインシデントを防ぐために、セキュリティを強化する対策を講じたと述べている。
同社からの通知の受けたユーザーは、詐欺などの兆候に対して警戒を怠らず、疑わしい活動を発見した場合には、迅速にカード発行者に報告すべきである。
また、被害を受けた個人には、個人情報盗難保護サービスが無料で提供されている。
Slim CD は、さまざまな業界に決済処理サービスを提供しており、その中には小売/ホスピタリティ/レストランなどが含まれる。ただし、大半の人々は、同社とのダイレクトなやり取りが無いため、侵害通知を受け取った個人は戸惑うという可能性がある。
文中でも指摘されているように、クレジットカーその決済ゲートウェイが何処にあって、その上流と下流に、どのようなサービスが接続されているのかなんて、一般の人は知りませんよね。しかし、脅威アクターたちは違うようです。そこを狙って、侵害を達成し、検出を逃れながら1年近くにわたって、データを盗み出していたという事実が判明したわけです。よろしければ、Credit Card で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.