Instacartの顧客記録約278,531件がハッキングされ、ダークウェブで売りに出されていると報じられています。データには、氏名、メールアドレス、クレジットカード番号の下4桁、注文履歴などが含まれています…

インスタカートは、いかなる侵害も否定しており、データが本物だとしても自社から出たものではないと主張している。

「現時点ではデータ漏洩は認識しておりません。当社はデータ保護とプライバシーを非常に重視しております」と、Instacartの広報担当者はBuzzFeed Newsに語った。「Instacartプラットフォーム外では、攻撃者がフィッシングやクレデンシャルスタッフィングの手法を用いて個人を標的にする可能性があります。お客様のアカウントがInstacartプラットフォーム外のフィッシング詐欺やその他の行為によって侵害された可能性があると判断した場合、お客様にパスワードの自動更新を促し、積極的にご連絡いたします。」

しかし、データを検証したセキュリティ研究者は、Instacartの顧客記録は本物のように見えると述べており、BuzzFeedはデータが含まれていた2人の顧客の詳細を確認することができた。

「最近作られたもので、完全に合法のように見えます」と、サイバーセキュリティ企業Security Fanaticsのニック・エスピノサ氏は、販売されているアカウントを確認した後、BuzzFeed Newsに語った。

個人情報が販売されていた2人の女性は、自分たちがインスタカートの顧客であり、最後の注文日と金額がダークウェブに表示されたものと一致し、クレジットカード情報が自分たちのものであることを確認した[…]

アカウント情報は顧客1人あたり約2ドルで販売されていました。情報が販売されていたウェブサイトの1つによると、Instacartアカウント利用者の個人データは6月から7月にかけて追加されており、最新のアップロードは7月22日でした。

この侵害は、侵害を検証し、自分の電子メールアドレスを検索してデータが取得されたかどうかを確認できるサイトである haveibeenpwned.com にはまだ追加されておらず、侵害に自分の電子メールアドレスが含まれている場合は登録ユーザーに事前に通知されます。

報告されているあらゆる侵害と同様に、パスワードを変更し、特に他の場所で同じパスワードを使い回していないことを確認することをお勧めします。使い回している場合は、関連するすべてのサイトでパスワードを変更し、パスワードマネージャーを使用して、サイト、アプリ、サービスごとに固有の強力なパスワードを使用できるようにしてください。また、プライバシー保護のため、利用可能な場合は必ず2要素認証を使用してください。

havebin.com を Google ニュース フィードに追加します。