はじめに
自動投資プラットフォームを提供するフィンテック企業Bettermentは、先週発生したデータ侵害を認め、一部顧客の個人情報が不正にアクセスされたことを発表しました。この攻撃により、ハッカーは顧客に偽の暗号資産(仮想通貨)詐欺通知を送付する事態に至っています。
事件の経緯と詳細
BettermentがTechCrunchに提供した情報によると、攻撃は1月9日に発生し、同社がマーケティングおよび運用に利用しているサードパーティプラットフォームを介したソーシャルエンジニアリング攻撃が原因でした。
この侵害により、顧客の氏名、メールアドレス、郵便物送付先住所、電話番号、生年月日が不正にアクセスされました。ハッカーはこれらの情報を悪用し、暗号資産の価値が3倍になると偽り、10,000ドルを特定のウォレットに送金するよう促す詐欺通知を顧客に送付しました。
Bettermentの対応
Bettermentは、攻撃を同日中に検知し、直ちに不正アクセスを遮断。現在、特定のサイバーセキュリティ企業の支援を得て、包括的な調査を継続しています。同社は、標的となった顧客にはすでに連絡を取り、詐欺通知を無視するよう助言したと述べています。
Bettermentはまた、「進行中の調査により、顧客のアカウントへのアクセスや、パスワードを含むログイン認証情報の侵害は確認されていない」と強調しています。
情報公開への疑問
しかし、TechCrunchの報道によると、Bettermentのセキュリティインシデントに関するウェブページには、検索エンジンにインデックス登録をさせない「noindex」タグが埋め込まれていることが判明しています。これにより、今回のデータ侵害に関する情報が検索エンジンを通じて見つけにくくなっている点には疑問が残ります。