ソーシャル メディア分析プロバイダーは、データベースが侵害され、ハッカー フォーラムに売りに出された後に、Social Blade のデータ侵害が発生したことを確認しました。 Social Blade は、YouTube、Twitter、Twitch、Daily Motion、Mixer、および Instagram アカウントの統計とグラフをユーザーに提供し、予測される収益とプロジェクトを監視できるようにする分析ソフトウェアです。 同社は、ユーザーが Social Blade データを自分のプラットフォームに簡単に組み込むことができる API を提供しています。 BleepingComputer によると、企業は侵入を確認し、クライアントにデータ侵害アラートの配布を開始しました。
顧客は、次のようにデータ侵害について通知されました。
「12 月 14 日、個人がユーザー データベースのエクスポートを取得し、それをハッカー フォーラムで販売しようとしたというデータ侵害の可能性について通知を受けました。 サンプルが投稿され、それらが実際に本物であることを確認しました。 この人物は、私たちのウェブサイトの脆弱性を利用して、私たちのデータベースにアクセスしたようです。」
Social Blade のデータ侵害には、内部データと個人データが含まれます
ハッカーが会社のデータベースにアクセスし、次の情報を盗んだとき、顧客はデータ侵害について通知されました。
- メールアドレス
- パスワード ハッシュ
- クライアント ID
- ビジネス API ユーザーのトークン
- 接続されたアカウントの認証トークン
- さまざまな非個人データおよび内部データ
この警告は、セキュリティ侵害の結果としてクレジット カード情報が侵害されなかったことを強調しています。
Social Blade は、ユーザーのパスワードは bcrypt 技術を使用してハッシュ化されているため解読が困難であると主張していますが、すべてのユーザーがパスワードを交換することを推奨しています。 ただし、プラットフォーム全体の資格情報のリセットはありません。 ビジネス ユーザーと関連するソーシャル メディア アカウントの認証トークンもサイクルされており、攻撃者が盗まれたデータベースにリストされているものを使用するのを防いでいます。
侵害されたハッキング コミュニティのフォーラム投稿で、攻撃者は、データが 2022 年 9 月に取得され、最大 1 人から 2 人に販売する準備ができていると述べました。 ハッカーは、盗まれたデータベースには 560 万のエントリがあり、IP アドレス、電子メール、データベース構造などを含むデータのサンプルを公開したと主張しました。 組織によると、侵入者がそのシステムへのアクセスを取得するために使用したセキュリティの脆弱性を修復し、現在、すべてのシステムが適切に強化されていることを確認するためのさらなるテストを実行して、将来のそのようなインスタンスを防止します.
「悪意のある人物が世界中の IT インフラストラクチャに侵入しようと試み続けることを十分に認識しており、Social Blade では、セキュリティと防御を強化することに満足することは決してありません」と通知には記載されています。 Social Blade は、一般的に大規模なデータ侵害に先立って、ハッキングされた会社になりすましてパスワードやクレジット カードの詳細を入手するフィッシング攻撃に注意するようユーザーにアドバイスしています。
Social Blade のデータ侵害について知っておくべきことはこれだけです。 この記事を楽しんでいただけた場合は、Cloud under attack: GoTo のデータ侵害が LastPass に影響を与えた、または Facebook のデータ侵害 2022: 100 万人以上のユーザーが影響を受けた をご覧になることをお勧めします。
