概要
米国の金融サービスおよびフィンテック企業である700Creditは、データ侵害により580万人以上の個人情報が漏洩したことを通知し始めると発表しました。同社は、全米の23,000を超える自動車、RV、パワースポーツ、およびマリンディーラー顧客に信用報告、身元確認、詐欺およびコンプライアンスサービスを提供する大手プロバイダーです。
事件の概要と流出データ
サイバー攻撃は、700Creditの統合パートナーの1つが7月に侵害された後に発生しました。脅威アクターは顧客情報を取得するためのAPIを発見しましたが、パートナーはこの侵害について700Creditに通知しませんでした。
700Creditは10月25日に自社システムで不審な活動に気づき、第三者のコンピューターフォレンジック専門家の協力を得て調査を開始しました。調査の結果、ディーラー顧客に関連するウェブアプリケーション内の一部の記録が不正にコピーされたことが判明しました。700Creditのマネージングディレクターであるケン・ヒル氏によると、攻撃者はAPIのセキュリティ脆弱性(元のリクエスト元に対して消費者参照IDを検証しない欠陥)を悪用し、同社がAPIを停止するまでに5月から10月にかけて約20%の消費者データが盗み出されました。
流出したデータタイプには以下のものが含まれます。
- 氏名
- 住所
- 生年月日
- 社会保障番号 (SSN)
700Creditの対応
700Creditは、自社および影響を受けた全てのディーラー顧客に代わって、連邦取引委員会 (FTC) にデータ侵害通知を提出しました。また、全米自動車ディーラー協会 (NADA) にも事件を通知し、意識向上を図っています。同社のウェブサイトには、データ侵害と影響を受けた情報の種類に関する詳細情報を提供する専用ページが設けられています。
影響を受けた個人がリスクを軽減できるよう、700CreditはTransUnionを通じて12ヶ月間の無料の身元保護および信用監視サービスを提供しており、登録期間は90日間です。データ侵害通知の受領者には、口座を綿密に監視し、セキュリティ凍結を検討することが推奨されています。現時点では、この攻撃についてランサムウェアグループによる犯行声明は出ていません。