Fractal IDは、6,300人のユーザーに影響を与えたデータ侵害が、2022年のハッキングによる侵害されたパスワードに遡ることを明らかにし、堅牢なセキュリティ対策の重要性を強調しています。
ポイント
- FractalIDのデータ侵害は約6,300人のユーザーに影響を与え、2022年のパスワードハッキングに遡ります。
- 侵害された管理者資格情報により、攻撃者はユーザーデータを漏洩することができました。
- FractalIDはより厳格なセキュリティ対策を実施し、当局と連携しています。
分散型IDスタートアップおよび顧客確認(KYC)検証プロバイダーであるFractal IDは、7月14日に同社が発生したデータ侵害の概要を示す事後分析を公開しました。同社は、侵害されたデータには「名前、電子メールアドレスまたは電話番号、財布が含まれている可能性がある」と述べました。約6,300人のユーザー、つまりFractal IDのデータベース内のユーザーの0.5%の住所、物理的な住所、画像、およびアップロードされたドキュメントの写真。
ベルリンに拠点を置くFractal IDは、Polygon、Ripple、Nearを含む少なくとも8つの暗号プロトコルのコンプライアンス支援を提供しており、同社のウェブサイトによると、顧客には250社以上の企業が含まれています。
攻撃者は、侵害された従業員のアカウントを通じてシステムにアクセスしました。従業員はシステムへの管理者レベルのアクセス権を持っていたため、ハッカーは内部のデータプライバシーシステムを「回避」することができ、その後、自動システムがエンジニアに通知し、攻撃開始から29分後に攻撃者をシャットアウトすることができたと同社は述べている。。
侵害の根本原因
オペレーターが運用上のセキュリティポリシーやトレーニングに従わなかったことに加え、過去のハッキングで得られた認証情報を再利用したことが侵害を助長しました。2024年7月14日、暗号化ID検証プロバイダーは、バックオフィスの1つで異常なアクティビティを検出しました。このアクティビティはすぐに悪意のある攻撃であると特定され、ユーザーベースの約0.5%のデータ漏洩につながりました。
しかし、FractalIDは事後報告書の中で、これに対応して侵害されたシステム内のすべてのアカウントを無効にし、上級従業員へのアクセスを制限したと述べています。同社はまた、将来のインシデントを防ぐために、リクエストの調整、よりきめ細かい認可、失敗した認証試行のより厳格な監視、より厳格なIP制御の実装など、セキュリティ対策を強化することも優先しました。
Fractal IDは、社内の取り組みに加えて、関連するデータ保護当局とベルリンのサイバー犯罪警察部門に連絡しました。同社はまた、既知のデータ侵害サイトで盗まれたデータが配布される可能性を監視するサイバーセキュリティサービスにも取り組んでいます。
データ侵害の影響
報告書によると、約6,300人のユーザーに影響を与えた盗難データには、本人確認チェックから完全なKYCチェックに至るまで、さまざまなレベルの情報が含まれているという。このデータには、名前、電子メールアドレス、電話番号、ウォレットアドレス、物理的住所、アップロードされたドキュメントの画像が含まれる場合があります。Fractal IDはまた、影響を受けたユーザーに直接連絡して侵害について通知しました。
Fractal IDの共同創設者であるJulian、Julio、Lluis、Annaは、この事件に対して遺憾の意を表明し、ユーザーデータの保護への取り組みを強調しました。彼らは、データセキュリティを強化するために自己保管ストレージシステムに移行するという同社の目標を繰り返しました。
このセキュリティ上の欠陥は、データを保護することの難しさをはっきりと思い出させます。暗号化IDプロバイダーであるAutix10は6月27日、オンライン管理ログインの詳細が公開されたことを明らかにしました。ただし、この例では、攻撃者は顧客データにアクセスできなかったようです。
最初のハッキングの日付は2022年に遡る
サイバー犯罪情報会社ハドソンロックの研究者らによると、この従業員のマシンが最初に侵害されたのは2022年9月に遡る。このマシンは、2019年4月に初めて観察された、一般的に入手可能なサービスとしてのマルウェアであるRaccoonの「infostealer」に感染していました。
「コンピューターは2022年に感染していたが、被害者はパスワードを変更していなかったとみられ、ハッカーがアカウントに侵入してハッキングを開始できるようになった」と研究者らは書いている。
「オペレーターは当社のopsecポリシーとトレーニングに従わなかった。当社は、将来的にオペレーターがこれらを回避できないように技術的対策を講じた。これはソフトウェアの脆弱性の結果ではなかった」とFractalIDは事後分析で指摘した。。
米司法省は2022年、ラクーン・インフォスティーラーの運営を共謀した罪で26歳のウクライナ人マーク・ソコロフスキーを起訴した。ラクーン・インフォスティーラーは月額わずか200ドルの仮想通貨でハッカーにリースされていたとされる。FBIは、世界中の何百万人もの潜在的な被害者と思われる盗まれたデータの中から、「5,000万を超える固有の認証情報と身分証明書形式(メールアドレス、銀行口座、仮想通貨アドレス、クレジットカード番号など)」を特定することができた。」と述べたが、当局はその数字が過小評価である可能性があることを認めた。
ソコロフスキー氏はロシアのウクライナ侵攻後、死亡を偽装することに失敗し、今年2月に米国に引き渡された。米国政府は、ユーザーが自分の資格情報が侵害されているかどうかを確認できるWebサイトも開設しました。
©2023ザ・ブロック.無断転載を禁じます。この記事は情報提供のみを目的として提供されています。これは、法律、税金、投資、財務、その他のアドバイスとして提供されたり、使用されることを意図したものではありません。
解説
- セキュリティポリシー:この侵害は、堅牢なセキュリティポリシーと定期的なトレーニングの重要性を浮き彫りにしました。従業員がセキュリティプロトコルに従うようにすることで、同様の事件を防ぐことができます。
- データの漏洩:データ侵害の影響は重大であり、数千のユーザーに影響を与える可能性があります。企業は、セキュリティ対策を強化し、侵害に迅速に対応することに積極的に取り組む必要があります。
- 法的および規制上の措置:法執行機関および規制機関の関与は、データ侵害の深刻さを浮き彫りにします。企業は法的要件を遵守し、当局と協力してセキュリティインシデントに対処する必要があります。