2024年2月以降に流通した1億2200万人分のビジネス連絡先情報が、B2B需要創出プラットフォームから盗まれたことが確認された。
このデータはDemandScience社(旧Pure Incubation社)のもので、データを集約するB2B需要創出企業である。
データアグリゲーションとは、デジタルマーケティング担当者や広告主が、リードやマーケティング情報を生成するために使用するリッチな「プロファイル」を作成する上で価値のある包括的なデータセットを作成するために、公開ソースからデータを収集、編集、整理するプロセスのことである。
DemandScienceの場合、同社は、フルネーム、物理的な住所、電子メールアドレス、電話番号、役職と機能、およびソーシャルメディアへのリンクを含むビジネスデータを公開ソースおよび第三者から収集しました。
2024年2月、’KryptonZambie”という名の脅威行為者が、Pure Incubationが所有する公開システムから盗まれたものだとして、BreachForumsで1億3280万件のレコードの販売を開始した。
当時、DemandScienceに盗まれたとされるデータについて問い合わせたところ、侵害の証拠はないと言われた。流出したデータサンプルがDemandScienceのものであるかどうかを尋ねるフォローアップの電子メールには回答がなかった。
「ブラックハットのハッキング犯罪フォーラムから転送された投稿に基づき、当社は直ちにセキュリティとインシデント対応プロトコルを起動しました。
「当社のシステムはすべて100%稼働しており、当社のシステムやデータに対するハッキングや侵害が発生した形跡は見つかっていません(すべてファイアウォール/VPNアクセス/アクセス制御/侵入検知システムで保護されています)。我々は状況を監視し続けており、現時点でこれ以上拡大することは適切ではない。”
早いもので2024年8月15日、KryptonZambieはデータセットをわずか数ドルに相当する8クレジットで利用可能にし、実質的にデータを無料で流出させた。
今日、トロイ・ハントは、データが本物であることを確認するブログ投稿を発表した。リークで暴露された誰かがデマンドサイエンスに連絡し、リークされたデータは2年前に廃止されたシステムに由来すると言われたと述べている。
「あなたの電子メールで言及された件について、当社は徹底的な内部調査を実施し、当社の現在の運用システムはどれも悪用されていないと結論づけました。
「また、流出したデータは、約2年前に廃止されたシステムから流出したものであると結論づけています。
ハント氏は、ファイザー社に勤務していた頃のデータを含む自身の記録を含め、流出したデータの中に他の人のデータも含まれていることを確認した。
盗まれたデータセットに含まれる1億2200万件のユニークなメールアドレスはすべてHave I Been Pwnedに追加され、暴露された購読者は情報漏洩に関する通知を受け取ることになる。
Comments