インドでAmazon等の主要なECサイトへ決済代行サービスを提供しているJuspayがデータ侵害を受け、Darkwebで顧客情報が販売されていると報じられていました。
inc42.com
最近のインド最大のデータ漏えいと思われるものの中で、影響を受けたユーザー数の観点から、10人のCrカード所有者のデータがダークウェブで漏えいしています。
漏洩したデータは、データダンプの形式であり、バンガロールに本社を置くモバイル決済ソリューション会社Juspayの侵害されたサーバーを介して漏洩したようです。
Inc42がアクセスしたリークされたデータベースのスクリーンショットは、機密情報が含まれていることを示しています。これには、ユーザーのカードブランド(VISA / Mastercard)、カードの有効期限、カードの下4桁、マスクされたカード番号、カードの種類(クレジット/デビット)、カードの名前、カードの指紋、カードのISINが含まれます。 、顧客IDと販売アカウントID、その他いくつかの詳細。リークされたユーザーレコードの総数(10 Cr)のサブセットであるJuspayが認めたように、合計で、支払いカードに関連する16を超えるフィールドのデータが少なくとも2Crユーザーに対してリークされました。
(inc42記事より引用)※機械翻訳
公式発表
・Your Security, Our First Concern: Customer transaction-related data is secure
キタきつねの所感
インドの支払い処理会社(決済代行会社)への侵害事件という事で、この記事が気になりました。
カード情報と個人情報の一部(発行銀行の名前、有効期限、マスクされたクレジット/デビットカード番号、名前、顧客ID、およびマーチャントアカウントID、電子メール、電話番号)が漏えいしたと報じられていますが、機密性の高いデータまでは影響範囲に入って無い様です。
顧客の完全なカード番号、注文情報、カードPIN、またはパスワードはすべて安全です。侵害されたデータには、トランザクションまたは注文情報は含まれていません。
(公式発表より引用)※機械翻訳
別な関連記事を読んでいて、Jaspayのスポークスマンが(初報では1億件が侵害を受けた可能性があると報じられていた事に対してだと思いますが)『350万人の顧客データしか侵害されていない』とコメントしている所に、インドと日本の人口差を改めて感じました。
この2020年8月に発生したサイバー攻撃を、公式発表によるとJaspay側はすぐ検知して攻撃を止めたにも関わらず、クレジット&デビットカード保有者のデータダンプ(最大3500万人との一部報道もあります)がDarkWebで非公開の金額で販売されている様です。
尚、Jaspayのスポークスマンは悪名名高い「ShinyHunters」によるものと判断している様です。過去のインシデント参考:ShinyHunters Offers Stolen Data on Dark Web
公式発表を見ると、どうやらPCI DSSの環境(CDE)ではない、隔離されたストレージシステムの1つが攻撃を受けた様で、漏えいしたデータの中には機密情報(PANやPIN)が含まれていなかったのはこの為だった様です。
しかし、セキュリティが(比較的)しっかりとしている(と考えられる)決済代行会社がどうして攻撃を受けてしまったのか?という部分が非常に気になります。
公式発表では直接的には「リサイクルされていないアクセスが侵害された原因」程度にしか書いてないのですが、対策部分を見ると、その内容が伺えました。
続きを読む