フランスの大手インターネット・サービス・プロバイダー(ISP)、フリー社は週末、ハッカーが同社のシステムに侵入し、顧客の個人情報を盗んだことを確認した。
同社は、6月末時点で2290万人以上の携帯電話および固定電話の加入者を抱えており、フランスで2番目に大きな通信会社であり、加入者数でヨーロッパ第6位の携帯電話事業者であるイリアド・グループの子会社である。
フリー社はその後、検察官に刑事告訴を行い、フランス情報技術・自由国家委員会(CNIL)および情報システム安全保障庁(ANSSI)に事件を通知した。
Free社の広報担当者は、”影響を受けた加入者には、まもなく電子メールで通知された、または通知される予定である “と述べ、”当社の活動やサービスに運用上の影響は見られなかった”、”この攻撃に終止符を打ち、当社の情報システムの保護を強化するために必要なすべての措置が直ちに取られた “と付け加えた。
フリーは、この攻撃は加入者のデータを公開する管理ツールを標的にしていたと付け加えた。しかし、攻撃者は顧客のパスワード、銀行カード情報、通信内容(「電子メール、SMS、音声メッセージなど」)にアクセスすることはできなかった。
この攻撃で盗まれたデータは現在、BreachForumsで最高入札者に競売にかけられており、”drussellx “として知られる脅威行為者は、この侵害がフランスの人口のほぼ3分の1に影響を及ぼすと主張している。
“データ漏洩は1920万人の顧客に影響し、511万以上のIBAN番号が含まれている。フリーモバイルとフリーボックスの全顧客に影響し、511万人のフリーボックス加入者全員のIBANが含まれています」と脅威の主体は言う。
また、オークションにかけられたデータが正当なものであることの証拠として、盗まれたとされるデータの一部、スクリーンショット、データベースヘッダーを含むアーカイブも提供している。
さらなる証拠として、脅威行為者は、「回収されたデータベース全体」が売りに出されていることを確認するために、潜在的な顧客に盗まれたデータベースを検索させる用意もあると述べている。
盗まれたIBAN(国際銀行口座番号)について、Free社は、攻撃者が盗むことができたのは特定の固定加入者のものだけであり、”銀行からの口座引き落としを行うには十分ではない “と述べている。
“それにもかかわらず、加入者が、日付も請求金額も不明な異常な口座引き落としに気づいた場合、銀行は弁済する義務がある。不正な口座引き落としの報告期限は13カ月である、
「また、フィッシング詐欺にも注意してください。電子メール、SMS、電話のいずれであっても、アクセスコードや銀行カードは絶対に伝えないでください。
フリー社の広報担当者は、本日未明、詳細について問い合わせを受けたが、この事件がいつ発覚したのか、何人の顧客がこの侵害の影響を受けたのかについて、まだ詳細を明らかにしていない。
Comments