Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Home Chefの800万件のデータ漏えい事件

米国で年間1000万食以上を提供している食事キットサービスのHome Chefから顧客データ800万件がDarkWebで販売されている事が報じられていました。

securityboulevard.com

 

食事キットサービスは、Covid-19のロックダウンフェーズで人気がありました。今週初め、Home Chefは、800万人の顧客の個人情報が漏洩したというセキュリティインシデントを確認しました。

影響を受けるデータには、電子メールアドレス、名前、電話番号、暗号化されたパスワード、およびオンライン注文に使用されるクレジットカード番号の最後の4桁が含まれます。

同社は「クレジットカードやデビットカードの情報を完全に保存していない」ことを確認しましたが、「配達の頻度や住所など、他のアカウント情報も侵害されている可能性があります。」

さらに悪いことに、この発表は、ダークウェブで11社(Home Chefを含む)のユーザーデータベースをすでに1,500〜2,500ドルで販売していた、Shiny Huntersと呼ばれる悪意のあるグループに関する以前のレポートに続きます。

(SecurityBoulevard記事より引用)※機械翻訳

 

公式FAQ

 

キタきつねの所感

ミールキット(簡単料理セット)宅配という業態は、日本だとオイシックスや生協等が近いかも知れません。

Home Chefから800万件の顧客データが漏えいしたのは事実の様です。とは言え、公式FAQや関連海外ニュースには、事件の詳細についての記載は確認できませんでした。

f:id:foxcafelate:20200525091121p:plain

 

元々はDarkWebのマーケットで10社以上、73百万件の顧客情報の販売をShiny Huntersハッカーグループがデータ販売を始めた事に起因している様です。

www.zdnet.com

 

このHome Chefを含め、10社以上の全てのデータ約7,320万件が約18,000ドル(約200万円)で販売されている様です。Home Chefのデータのみだと2,500ドル(約27万円)です。

・オンラインデートアプリZoosk(ユーザー数3000万)
・印刷サービスチャットブック(1500万ユーザーレコード)
・韓国のファッションプラットフォームSocialShare(600万ユーザーレコード)
・宅配サービスHome Chef(800万件のユーザーレコード)
・オンラインマーケットプレイスミント(500万ユーザーレコード)
・オンライン新聞Chronicle of Higher Education(300万件のユーザーレコード)
・韓国の家具雑誌GGuMim(ユーザー数200万件)
健康雑誌マインドフル(200万ユーザー記録)
インドネシアオンラインストアBhinneka(ユーザー数120万人)
・米国の新聞StarTribune(100万件のユーザーレコード)

ZDNet記事より引用)※機械翻訳

 

この漏えいデータサンプルをHome Chef側が確認し、5/20に公式に漏えい発表(顧客へのメール告知)がされたのかと思われます。

尚、このデータを販売しているShiny Huntersハッカーグループは、過去に10億件をDarkWebで販売したと言われている有名なハッカー集団です。この事件以外にも最近マイクロソフトのGitHubアカウントをハッキングしたとも言われています。

 

改めてHome Chefの漏えい内容を見てみると、以下の様なデータが漏えいした可能性がある様です。

侵害された顧客データは何ですか?
これまでに知られている情報に基づいて、インシデントでは以下の情報が影響を受けました。

・メールアドレス、名前、電話番号
暗号化されたパスワード
・クレジットカード番号の下4桁
配達の頻度や住所などの他のアカウント情報も侵害されている可能性があります

(公式FAQより引用)※機械翻訳

 

カード情報はこのデータ(下4桁)だけでは不正利用はほとんど出来ませんので、一般的な個人情報のみが漏えいしたと考えるべきかと思いますが、気になるのが「暗号化されたパスワード」の部分です。

同時期にデータ漏えいが判明したChatboksは、パスワードに関しては個別にソルト+ハッシュ化していたと発表していますが、HomeChefはパスワード管理について暗号化以外の情報を公開していません

しかし公式FAQではパスワード変更を顧客に勧めており、逆引きが可能なパスワード保管体制であった可能性を伺わせます。 ※予防措置での推奨と言う事も考えられますが・・・

 

既に米国市民の個人情報が大量に世に漏えいしている事は間違いありませんが、新型コロナ禍における最新データ(食事や健康に気を使う)が、フィッシング等の別な攻撃に使われる可能性は十分に考えられます。

ユーザ側としては、withコロナ、afterコロナでは特にパスワード管理をしっかりと行う必要があり、個々のサイトに対するパスワード設定(変更)を、パスワード管理ツール(ソフト)利用も含めて、考えておくべきかと思います。

 

一方で企業側も、新型コロナウィルス禍において、Home Chef等のフードデリバリーサービスは非常に需要が高く、それだけに企業に対して顧客が潜在的に求めるセキュリティ体制(安全意識)も高い状況です。

利便性とのバランスが重要ではありますが、高度な技術を持つハッカーの対象となっている事を考慮して、ECサイト運営者は、ユーザパスワードポリシー、パスワード保管、2要素認証、監視体制等、再点検すべきなのかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 料理を差し出しているシェフのイラスト(女性)

 

更新履歴

  • 2020年5月25日 AM(予約投稿)