香港ブロードバンド・ネットワーク(HKBN)は、顧客38万人の個人データがハッキングされたと発表しました。
香港フリープレスによれば、香港の大手家庭用高速ブロードバンドプロバイダであるHKBNが、(4月16日に)2012年以降の顧客およびサービス申請者記録の詳細が記録された非アクティブな顧客データベースのデータが、「権限のない人物」によってアクセスされたと発表しました。
侵害された情報には、氏名、電子メールアドレス、通信アドレス、電話番号、身分証明書番号、およそ43,000件のクレジットカード情報が含まれています。
「孤立した事件」
HKBNは、この不正行為を封じ込めるための厳しい措置をとっており、他のデータ漏洩の可能性がないかどうかシステムを精査していると述べています。
「当社は、不正アクセスを特定した時点で、ただちに徹底的な内部調査を行うとともに、外部のネットワークセキュリティ・コンサルタントによる、すべてのシステムとサーバーの包括的なチェックを実施しました。」と、HKBN は発表しました。
これまでのところ、HKBNはこれが「孤立した事件」であり、「グループの事業および運営に重大な影響を与えることはない」と考えています。そうであるにしても、支払いカード情報を含む顧客の個人識別情報の漏洩は、訴訟につながる可能性は残っています。
オンライン・データベースはよく狙われるターゲット
HKBNは、地元のメディアに、攻撃者がデータベースにアクセスするために “高度なスキル" を使用していると曖昧に伝えているだけなので、攻撃手法の詳細はわかっていません。
この漏洩事件でアクセス可能になったデータベースの特性を知ることはできませんが、設定が誤っていてセキュアでないオンライン・データベースは、近年悪意ある攻撃者によく狙われるターゲットになっています。特に、Amazon S3のバケットは、誤って設定されたバケットには、無料のAmazonアカウントと適切なURLを持つ誰でもアクセスできてしまうことが多いため、狙われやすいターゲットになっています。
香港のプライバシー委員会のコミッショナー、Stephen Wong 氏は、非アクティブな顧客データがオンラインサーバーに何年も保管されている理由を説明するよう HKBN に要求するとコメントしています。
ファイルをAmazon S3に安全に転送できます。MOVEit Transfer を無料でお試しください。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.