Have I Been Pwnedは、データ侵害の疑いでHot Topic、Box Lunch、Torridの顧客56,904,909アカウントの個人情報が流出したと警告している。
ホット・トピックは、カウンターカルチャー関連の衣料品、アクセサリー、ライセンス音楽商品を専門に扱うアメリカの小売チェーンである。同社は米国とカナダで640店舗以上を展開し、主にショッピングモールに出店している。
HIBPによると、流出した詳細情報には、ホット・トピック、ボックス・ランチ、トリッドの顧客のフルネーム、電子メールアドレス、生年月日、電話番号、物理的住所、購入履歴、クレジットカード情報の一部が含まれている。
このセキュリティインシデントは、2024年10月21日に「Satanic」という名の脅威行為者によってBreachForumsで最初に主張された。この脅威行為者は、Hot Topic とその関連ブランドである Box Lunch および Torrid から 3 億 5000 万件のユーザー記録を盗んだと主張しました。
「サタニック」はこのデータベースを 20,000 ドルで売却しようとしており、同時にフォーラムからリストを削除するためにホットトピックに 100,000 ドルの身代金を支払うよう要求していました。
当時、ホット・トピック社にデータの信憑性について問い合わせたが、回答は得られなかった。
10月23日に発表されたHudsonRockのレポートによると、今回の情報漏洩は、Hot Topicが利用しているデータ統合サービスの認証情報を盗む情報窃盗マルウェアの感染に端を発している可能性が示唆されている。
ホット・トピックは沈黙を守り、影響を受ける可能性のある顧客には何の通知も送っていないが、データ分析会社のアトラス・プライバシーは先週、730GBのデータベースが実際には5400万人の顧客に影響を与えると報告した。
さらにAtlasは、このデータセットには2500万件のクレジットカード番号が含まれており、最新のコンピューターでは簡単に解読できる弱い暗号で暗号化されていることを明らかにした。
Atlasは、このデータベースがHot Topicのものであることを100%確信しているわけではないが、全メールアドレスの半数近くが以前の侵害では見られなかったものであり、脅威行為者の主張の正当性をさらに裏付けていると指摘した。
Altas社によると、情報漏えいは10月19日に発生し、データは2011年からその日まで及んでいる。
同社は、ホット・トピックの顧客が自分の電子メールアドレスや電話番号が今回のデータ流出で流出したかどうかを確認できるサイトを開設した。
一方、脅威の主体は、4,000ドルという低価格ではあるが、データベースの販売を続けている。
影響を受ける可能性のあるHot Topicの顧客は、フィッシング攻撃に警戒し、疑わしい動きがないか金融口座を注意深く監視し、同じ認証情報を使用しているすべてのプラットフォームでパスワードを変更する必要がある。
ホット・トピック社に再度コメントを求めたが、掲載時間までに返答はなかった。
Comments