Fractal IDは、2024年7月のデータ侵害が2022年のハッキングによって漏洩したパスワードに遡り、約6,300人のユーザーに影響を与えたことを明らかにしました。
ポイント
- FractalIDのデータ侵害は約6,300人のユーザーに影響を及ぼし、その原因は2022年のパスワードハッキングにまで遡ります。
- この侵害には管理者の資格情報の侵害が含まれており、データの流出につながりました。
- FractalIDは、今後のインシデントを防ぐために、より厳格なセキュリティ対策を実装しています。
ブロックチェーンIDプラットフォームのFractal IDは、7月14日に同社が発生したデータ侵害の概要を示す事後分析を公開しました。その後、この侵害は、従業員が漏洩したパスワードを再利用した2022年の事件にまで遡ることができました。
Fractal IDによると、侵害されたアカウントは3年間プラットフォームの運営者に属しており、管理者権限を持っていました。これにより、攻撃者は内部のデータプライバシーシステムをバイパスすることができましたが、システム監視により29分以内に攻撃者を締め出すことができました。
侵害の根本原因
オペレーターが運用上のセキュリティポリシーやトレーニングに従わなかったことに加え、過去のハッキングで得られた認証情報を再利用したことが侵害を助長しました。2024年7月14日、暗号化ID検証プロバイダーは、バックオフィスの1つで異常なアクティビティを検出しました。このアクティビティはすぐに悪意のある攻撃であると特定され、ユーザーベースの約0.5%のデータ漏洩につながりました。
しかし、FractalIDは事後報告書で、これに応じて侵害されたシステム内のすべてのアカウントを無効にし、上級ユーザーへのアクセスを制限したと述べています。
従業員。同社はまた、将来のインシデントを防ぐために、リクエストの調整、よりきめ細かい認可、失敗した認証試行のより厳格な監視、より厳格なIP制御の実装など、セキュリティ対策を強化することも優先しました。
Fractal IDは、社内の取り組みに加えて、関連するデータ保護当局とベルリンのサイバー犯罪警察部門に連絡しました。同社はまた、既知のデータ侵害サイトで盗まれたデータが配布される可能性を監視するサイバーセキュリティサービスにも取り組んでいます。
データ侵害の影響
報告書によると、約6,300人のユーザーに影響を与えた盗難データには、本人確認チェックから完全なKYCチェックに至るまで、さまざまなレベルの情報が含まれているという。このデータには、名前、電子メールアドレス、電話番号、ウォレットアドレス、物理的住所、アップロードされたドキュメントの画像が含まれる場合があります。Fractal IDはまた、影響を受けたユーザーに直接連絡して侵害について通知しました。
Fractal IDの共同創設者であるJulian、Julio、Lluis、Annaは、この事件に対して遺憾の意を表明し、ユーザーデータの保護への取り組みを強調しました。彼らは、データセキュリティを強化するために自己保管ストレージシステムに移行するという同社の目標を繰り返しました。
このセキュリティ上の欠陥は、データを保護することの難しさをはっきりと思い出させます。暗号化IDプロバイダーであるAutix10は6月27日、オンライン管理ログインの詳細が公開されたことを明らかにしました。ただし、この例では、攻撃者は顧客データにアクセスできなかったようです。
最初のハッキングの日付は2022年に遡る
サイバー犯罪情報会社ハドソンロックの研究者らによると、この従業員のマシンが最初に侵害されたのは2022年9月に遡る。このマシンは、2019年4月に初めて観察された、一般的に入手可能なサービスとしてのマルウェアであるRaccoonの「infostealer」に感染していました。
「コンピューターは2022年に感染していたが、被害者はパスワードを変更していなかったとみられ、ハッカーがアカウントに侵入してハッキングを開始できるようになった」と研究者らは書いている。
「オペレーターは当社のopsecポリシーとトレーニングに従わなかった。当社は、将来的にオペレーターがこれらを回避できないように技術的対策を講じた。これはソフトウェアの脆弱性の結果ではなかった」とFractalIDは事後分析で指摘した。。
米司法省は2022年、ラクーン・インフォスティーラーの運営を共謀した罪で26歳のウクライナ人マーク・ソコロフスキーを起訴した。ラクーン・インフォスティーラーは月額わずか200ドルの仮想通貨でハッカーにリースされていたとされる。FBIは、世界中の何百万人もの潜在的な被害者と思われる盗まれたデータの中から、「5,000万を超える固有の認証情報と身分証明書形式(メールアドレス、銀行口座、仮想通貨アドレス、クレジットカード番号など)」を特定することができた。」と述べたが、当局はその数字が過小評価である可能性があることを認めた。
ソコロフスキー氏はロシアのウクライナ侵攻後、死亡を偽装することに失敗し、今年2月に米国に引き渡された。米国政府は、ユーザーが自分の資格情報が侵害されているかどうかを確認できるWebサイトも開設しました。
©2023ザ・ブロック.無断転載を禁じます。この記事は情報提供のみを目的として提供されています。これは、法律、税金、投資、財務、その他のアドバイスとして提供されたり、使用されることを意図したものではありません。
解説
- セキュリティポリシー:この侵害は、堅牢なセキュリティポリシーと定期的なトレーニングの重要性を浮き彫りにしました。従業員がセキュリティプロトコルに従うようにすることで、同様の事件を防ぐことができます。
- データの漏洩:データ侵害の影響は重大であり、数千のユーザーに影響を与える可能性があります。企業は、セキュリティ対策を強化し、侵害に迅速に対応することに積極的に取り組む必要があります。
- 法的および規制上の措置:法執行機関および規制機関の関与は、データ侵害の深刻さを浮き彫りにします。企業は法的要件を遵守し、当局と協力してセキュリティインシデントに対処する必要があります。