oBike データ侵害：APACサイバー・セキュリティの懸念

バイエルン放送の報道機関BR24によって最初に報告されたこのデータ侵害は2週間続き、名前、電話番号、電子メール・アドレス、プロフィール画像などのユーザー・データがアクセス可能になってしまいました。ただし、支払いカードのデータは被害にはあいませんでした。

おそらく最も憂慮すべき点は、ハッカーがユーザーのロケーション・データにアクセスして、顧客がレンタルした自転車に乗ったルートを追跡できるようにしたことでしょう。これだけの情報があればどんなことができるのか、考えただけでぞっとします。ニュースの報道によると、被害にあったデータは暗号化されていませんでした。

関連ブログ：ファイル転送における暗号化の基本

同社のスポークスパーソンは、このデータ侵害は、「API（アプリケーション・プログラミング・インタフェース）の欠落が原因で、ユーザーが友人を当社のプラットフォームに紹介できるようになっていました。」と述べています。「この問題が判明したあとすぐ、oBike は問題のあるAPIを無効にして、追加のセキュリティ・レイヤを作成することで欠落を修正しました。」スポークスパーソンは、データ侵害の影響を受けた時間について詳しく説明はしませんでした。

oBike は、データ侵害の被害を受けたユーザーの数を明らかにすることも拒否しましたが、「シンガポール、マレーシア、スイス、ドイツ、イギリスの5つの市場のユーザーに被害のリスクがあった」ことを認めました。

シンガポールの個人情報保護委員会（Personal Data Protection Commission、PDPC）は、データ侵害について把握しており、詳細を調査するために oBike に連絡していると述べました。

oBikeのユーザーデータ漏洩のニュースは、先月の大手配車サービス会社 Uber のデータ侵害発覚のニュースに続くものです。Uber の事件は、2016年に大量のデータ侵害を被った後、ハッカーに100,000米ドル（約135,000シンガポール・ドル）の身代金を支払うことで隠蔽しようとした事件です。データ侵害により、世界中の約5,700万人のUberの乗客の個人識別情報と600,000人のドライバーの情報が公開されてしまいました。最近の報告によると、フロリダ州の20歳の男がこのデータ侵害を行ったハッカーだと判明しました。

PII マーケットプレイスと APAC サイバー・セキュリティの懸念事項

名前、住所、電子メール、電話番号など、これらのデータ侵害で盗まれた個人識別情報(PII)は、闇のWebマーケットプレイスで不正な情報を入手できるサイバー犯罪者によってひとまとめにして販売され、取引されることがよくあります。最終目標は、複数のデータ侵害で得られたデータを使用して個人に関する完全な調査書類を作成することです。詐欺や個人情報の盗難などのさらなる攻撃を容易にするのに十分な情報を提供します。一般的に「fullz」と呼ばれるそのような調査書類は、ダークウェブ上で10ドルから20ドル程度で売られています。

アジア太平洋地域（APAC）では、多くの国がまだデータ侵害の被害に遭った企業にデータ侵害について公式発表することを義務付けていないため、この種のハッキングやデータ漏洩は報道されずにすまされてしまうことがあります。しかし、最近の報告では、APAC地域でデータ漏洩が増加していることが示されています。フォーティネットが実施したオンライン調査によると、この地域の組織の86％が過去2〜3年間にセキュリティ侵害を受けています。