銀行セクターへのハッカー攻撃
2023年7月7日、過去1年間で最大の銀行セクターへのハッカー攻撃が報告されました。サイバー犯罪者は、C&M Softwareの従業員の資格情報を使用して、6つのブラジルの金融機関から約1億4000万ドルを盗みました。この事件は6月30日に発生し、攻撃者はジョアン・ナザレーノ・ロケを賄賂で操り、彼の資格情報を使用してシステムにアクセスしました。
攻撃の詳細と逮捕
警察によると、ロケは攻撃の成功を確実にするための特定の行動を実行するよう指示を受けていました。ロケは最初に920ドルを受け取り、その後、攻撃者の指示に従ってC&Mのインフラ内でコマンドを実行し、追加で1850ドルを得たと報じられています。ロケは15日ごとに携帯電話を変更することで自らの活動を隠そうとしましたが、7月3日にサンパウロで逮捕されました。
盗まれた資金のうち、少なくとも3000万〜4000万ドルが暗号資産に変換されたと推定されています。オンチェーン探偵のZachXBTによる調査によれば、攻撃者は資金をBTC、ETH、USDTに変換し、ラテンアメリカのOTCおよび暗号取引所を通じて取引しました。
ダニール・カサトキンの逮捕
7月9日には、ロシアのプロバスケットボール選手ダニール・カサトキンが逮捕されたとのニュースが報じられました。メディアの報道によれば、彼はフランスのシャルル・ド・ゴール空港で、米国当局の要請により6月21日に逮捕されました。カサトキンはランサムウェアを使用するハッカーネットワークの交渉者として活動していたとされています。
彼は現在拘留されており、米国当局は彼の引き渡しを求めています。彼の弁護士は、選手の無実を主張していますが、ハッカーグループの名前は明らかにされていません。
McHireシステムの脆弱性
2020年から2022年の間に、攻撃者はさまざまな組織に対して900件以上の攻撃を実行したと報じられています。Wiredによると、研究者のイアン・キャロルとサム・カリーは、6月9日にMcHireシステムの重大な脆弱性を発見しました。このプラットフォームはマクドナルドの従業員を雇用するために使用され、オリビアというAIボットを利用しています。
研究者たちは「123456」のような単純なパスワードを使用して、プラットフォームの開発者であるParadox.aiの管理パネルにアクセスしました。そこには、求職者の名前、メールアドレス、電話番号を含む6400万件の記録が含まれていました。
データ漏洩とその影響
2019年以降、このプラットフォームは二要素認証なしでアクセス可能でした。Paradox.aiは漏洩を認め、アカウントは研究者以外の第三者によって使用されていないと述べました。同社は今後同様の事件を防ぐためにバグバウンティプログラムを実施することを約束しました。
一方、マクドナルドは、発見されたその日に脆弱性を修正したと述べています。キャロルは、この「ひどいセキュリティレベル」について知ったのは、AIボットと性格テストを通じて潜在的な従業員を審査する決定に興味を持ったからだと述べています。
「通常の採用プロセスと比べて、特にディストピア的に思えました。それが私を掘り下げるきっかけになりました。私はその仕事に応募し始め、30分以内に最近数年間にマクドナルドに提出されたほぼすべての応募フォームに完全にアクセスできました」と彼はWiredにコメントしました。
Bitcoin Depotのデータ漏洩
米国、カナダ、オーストラリアに17,000台以上のビットコインATMネットワークを運営するBitcoin Depotは、顧客に個人データの漏洩を通知しました。ネットワーク上の疑わしい活動は2023年6月23日に初めて発見され、同社の内部調査は2024年7月に終了する予定です。
米国の法執行機関は、彼ら自身の調査が完了するまで公表を遅らせるよう求めました。被害者に送られた手紙によれば、攻撃者はKYC手続きを完了した約27,000人の顧客の文書を取得しました。漏洩したデータの種類は人によって異なりますが、以下を含む可能性があります:氏名、電話番号、運転免許証番号、居住住所、生年月日、メールアドレス。
金融補償や身分盗難保護は提供されておらず、リスクは暗号資産に関連しています。被害者には、警戒を続け、銀行の明細書を監視するようにアドバイスされています。
