米国を拠点とするホームシェフは、データ侵害が明らかになった後、クライアントにパスワードの変更を要求する
データ侵害の直後に迅速に行動することの重要性についてよく話します。企業は、サイバー犯罪者が正常にブロックされ、セキュリティホールが塞がれたことを確認するだけでなく、影響を受ける顧客に情報を提供し、違反を透過的に公開する必要があります。フードデリバリー会社のHome Chefを襲った事件のような事件は、おそらくこれをすべて繰り返す必要があることを示しています。
ホームシェフ–シャイニーハンターの犠牲者の1人
5月上旬、新しいグループのサイバー犯罪者がセキュリティ専門家の注意を引きました。彼らは自分たちをシャイニーハンターと呼び、盗んだ情報の大規模なコレクションにアクセスして、収益化しようとしているようです。最初に、 Tokopediaというインドネシアの人気ウェブサイトから取得したデータベースが公開されました。次に、オンライン教育プラットフォームUnacademyから盗んだ2,200万件のレコードをシフトしようとしましたが、数日後、Shiny Huntersは過小評価されないことをもう一度証明しました。
彼らはお気に入りのハッキングフォーラムに戻り、 これまでに報告されていない10件以上のデータ侵害を発表しました 。彼らは攻撃の責任があるとは主張しませんでしたが、盗まれたデータベースを所有しており、ビットコインと引き換えにそれらを共有することをいとわないと指摘しました。
データセットあたり500ドルから3,500ドルの価格で、漏洩した情報はさまざまな組織から盗まれました。ご想像のとおり、Home Chefもその1つです。ハッカーはフードデリバリーネットワークから合計800万件のレコードを盗み出し、2,500ドルを求めています。そのため、購入者は、名前、電子メール、電話番号、さまざまなアカウント関連情報、暗号化されたパスワード、および人々のクレジットカードまたはデビットカードの最後の4桁を含む重要なデータベースを入手します。残念ながら、パスワードを保護する暗号化アルゴリズムは今のところ不明のままです。
ホームシェフはデータ侵害を明らかにする前に2週間近く待っていました
全体として、Home Chefに対する攻撃に関する詳細はやや不十分ですが、それさえも幸運だと主張する人もいます。シャイニーハンターズの卸売りは、 ブリーピングコンピュータが報道した5月9日に初めてニュースを発表しました。当時、影響を受けた10の組織のうち1つ(ChatBooksと呼ばれるフォトアルバムベンダー)だけがサイバー犯罪者の標的にされたことを認めており、ニュースWebサイトは関係者全員に連絡を取ろうとしたが、他の企業は彼らの回答を避けたメール。 Home Chefは、このグループの2人目のメンバーであり、違反についてクリーンになり、その実行方法は、データセキュリティインシデントとその開示に関する私たちの大きな問題を浮き彫りにします。
シャイニーハンターズがホームシェフがハッキングされたと最初に言ってから、ほぼ2週間が経ちました。この期間に盗まれたデータに対して支払った人の数を言うことができるのはハッカーだけであり、再共有された回数を推測する以上のことはできません。
それが売りに出されたという事実は、ホームシェフがユーザーと話し合うのが好きなことではありません。実際、会社がまとめたFAQページでは、情報の提供はほとんどありません。何が起こったのかをユーザーに明確に説明するという優れた機能はありませんが、データ侵害に見舞われた後に企業が使用する決まり文句の数を示しています。それについての唯一の肯定的なことは、それがユーザーに彼らのパスワードをたくさんの注意から変えるように促すことです。
もしあなたがHome Chefユーザーなら、それをするのは確かに良い考えです。手順は次のとおりです。
- Home Chefアカウントにログインします
- [ アカウント ]ドロップダウンメニューをクリックし、[ アカウント情報 ]を選択します
- パスワードの変更フォームに記入します
- [ 設定を保存]をクリックします
企業は、経験したサイバーセキュリティインシデントに関する情報をほとんどまたはまったく共有していなければ、何らかの形で顔を救うことができると確信しているようです。しかし、結局のところ、ユーザーはデータ侵害によって可能になるさまざまな攻撃のすべてで間違った結果を招く可能性があるユーザーであり、ユーザーには注意すべき点を知るあらゆる権利があります。開示の遅延と詳細の共有を躊躇することは、ユーザーを追加のリスクにさらすだけであり、これは会社の評判にとって有益ではありません。