Hackers Claim Breach of WIRED Database Containing 2.3 million Subscriber Records
2025/12/29 CyberSecurityNews — 230 万人以上の WIRED の購読者記録を含むデータベースを、ハッカーが流出させるという大規模なインシデントにより、親会社である Conde Nast は深刻な事態に直面している。Lovely と名乗るハッカーは、これは始まりに過ぎないと主張し、Vogue/The New Yorker といったブランドの購読者の記録を、最大で 4000 万件は漏洩できると脅迫している。WIRED のデータは、2025 年のクリスマス前後に Breach Stars/BreachForums などのハッキング・フォーラムで公開されたものだ。流出したデータに含まれるのは、230 万件のメールアドレス/285,936 件の名前/102,479 件の自宅住所/32,426 件の電話番号である。
一連の記録には、JSON 形式のプロファイルが含まれている。それにより、ユーザー ID/2011 年から 2022 年までの作成日/2025年9月8日以前のアクティビティなどのフィールドが明らかになる恐れがある。漏洩したスクリーン・ショットには、Conde Nast のサイト全体にわたる広範なファイル・リストと、編集された購読者の詳細が示されている。
その正当性を検証するために、Hudson Rock の研究者たちは、インフォスティーラーである RedLine/Raccoon のログと、WIRED のデータを相互参照した。その結果、侵害された認証情報の多くが重複していることが確認された。
Vanity Fair/GQ/Architectural Digest などの出版物にまたがる Conde Nast の共通 ID システムを標的とする、4000 万件に拡大し得る侵害が差し迫っていると、研究者たちは警告している。最初のダンプには、パスワードや支払い情報は含まれていなかったが、Personally Identifiable Information (PII:個人情報) の漏洩により、フィッシング/ドクシング/スワッティングのリスクが高まる。
Insecure Direct Object References (IDOR) に関連する脆弱性を悪用する攻撃者は、窃取したユーザー ID を反復処理することでプロフィールをスクレイピングし、大規模な JSON 抽出を可能にした。
アカウント・エンドポイントにおけるアクセス制御の不備を突く攻撃者は、認証をバイパスして、メール/パスワード/プロフィールへのアクセスと変更を可能にした。つまり、Conde Nast の集中型プラットフォームの欠陥により、完全な認証を必要としない、大量の情報流出が可能となった。
| Data Type | Count |
|---|---|
| Emails | 2,300,000 |
| Names | 285,936 |
| Addresses | 102,479 |
| Phone Numbers | 32,426 |
2025年11月に、研究者 Dissent Doe を装う Lovely が、DataBreaches.net に連絡を取り、Conde Nast に対して6つの脆弱性を報告した。
WIRED の記者やセキュリティ・チームなどを通じて、Lovely は何度も働きかけたが、Conde Nast は公式な回答や “security.txt” ファイルの公開などを一切行わなかった。苛立ちを募らせた Lovely は、WIRED のデータを “Christmas Lump of Coal” と称してリークし、同社がユーザーを無視していると非難した。
影響を受けた購読者たちは、”Have I Been Pwned” などのダークウェブ監視サイトでアクセスがあったと報告しており、侵害に関する情報を追加している。この種の共有ログインが、複数のブランドにおける連鎖的な侵害を広める可能性があるため、Conde Nast の沈黙がリスクを増大させる。専門家たちがユーザーに強く推奨するのは、パスワードのリセットと監視の強化である。それに加えて指摘するのは、メディア大手による脆弱性情報の開示の必要性である。
WIRED 購読者データが、大量に流出するというインシデントが発生しました。この問題の原因は、Conde Nast が運営する集中型プラットフォームにおける、認証システムのアクセス制御の不備にあります。具体的には、IDOR と呼ばれる脆弱性が悪用されました。そこで用いられた手法は、ユーザー ID などの識別子を順番に変えてリクエストを送るだけで、本来は見ることができない他人のプロフィール情報を抜き出すというものです。それに加えて、特定のエンドポイントで認証をバイパスできる欠陥もあり、大量の個人情報が容易に収集される結果となりました。購読者の方は、ご注意ください。よろしければ、Info Stealer での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.