Data Leak

Have I Been Pwnedは、保守系ニュースサイト「The Post Millennial」の最近のハッキングでデータが流出した26,818,266人分の情報を追加した。

The Post Millennialは、アメリカの「Human Events」ニュースプラットフォームも運営するHuman Events Media Groupに属するカナダの保守系オンラインニュース雑誌である。

今月初め、両方のニュース・プラットフォームがハッキングされ、サイトのトップページがポスト・ミレニアルの編集者アンディ・ンゴが書いたと主張する偽のメッセージで改ざんされた。

攻撃の一環として、脅威者は同社のメーリングリスト、購読者データベース、同社のライターと編集者の詳細を盗んだと主張し、改ざんされたページで共有された盗まれたデータへのリンクを共有した。

このデータは瞬く間にネット上に拡散し、トレントやハッキング・フォーラムで共有され、脅威行為者やその他の人々が簡単にデータをダウンロードできるようになった。

BreachForums post

暴露されたデータには以下の種類の情報が含まれている:

  • フルネーム
  • 電子メールアドレス
  • ユーザー名
  • アカウントのパスワード
  • IPアドレス
  • 電話番号
  • 物理的アドレス
  • 性別

このデータは、ライター、編集者、サイトの購読者のものであるとされており、暴露された個人には重大なプライバシーおよびセキュリティ上のリスクが生じる可能性がある。

昨日、トロイ・ハント氏はこのデータをHave I Been Pwnedのデータ流出通知サービスに追加し、このデータがHuman EventsやThe Post Millennialから直接盗まれたものであることは確認されていないと指摘した。

流出したデータは相当数のユーザーのものであるため、ハント氏はHIBPに追加し、危険にさらされる可能性のある人々に注意を喚起することにした。

「HIBPの投稿によれば、「今回の侵害により、ウェブサイトが改ざんされ、数百人のライターと編集者(IP、物理的住所、電子メールが流出)、数万人のサイト購読者(名前、電子メール、ユーザー名、電話番号、パスワードが流出)、The Post Millennialが使用していたとされる数千のメーリングリストの数千万の電子メールアドレス(これは独自に検証されていない)を含む3つの異なるデータへのリンクが掲載された。

“メーリングリストは、必ずしもThe Post Millennialによって運営されているとは限らない様々なキャンペーンから入手されたようであり、名前、電話、物理的住所(キャンペーンによって異なる)を含む様々な異なる個人属性が含まれている”

トロイ・ハントがツイートしたように、このデータはThe Post Millennialの改ざんの一部として流出したものだが、どこから流出したのかは不明である。

この記事を書いている時点では、The Post Millennialはサイト改ざんに関する公式声明を発表しておらず、データが流出した可能性があることを購読者に警告していない。

はThe Post MillennialとHuman Eventsの両社にコメントを求めたが、回答は得られていない。

その間に、パスワードをリセットし、上記の報道機関の購読者であれば、アカウントの活動を注意深く監視すること。また、すべての通信(電子メール、電話、SMS)を用心深く扱ってください。