ESEAは、12月27日のデータ侵害で推定150万人の個人情報が漏洩したことを確認した。
同社はCS:GO、Team Fortress 2などのゲームの競技リーグを主催しています。同社によると、正体不明のハッカーがバグ報奨金プログラムを通じて連絡を取り、同社のシステムに侵入したと述べ、情報の非公開と引き換えに10万ドルの身代金を要求しました。ESEAは身代金要求には応じない方針であるとして要求を拒否し、ハッカーは1月8日にユーザーデータを公開しました。
ESEAは、自社のサーバーに銀行情報を一切保存していないと述べている。しかし、他の多くの情報は保存していた。ハッカーは「ユーザー名、メールアドレス、プライベートメッセージ、IPアドレス、携帯電話番号(SMS用)、フォーラム投稿、ハッシュ化されたパスワード、ハッシュ化された秘密の質問の回答」を盗み出すことに成功した。これはESEAがユーザーに要求した情報に過ぎない。同社は、多くのユーザーがサービス上で自分自身についてより詳細な情報を共有することを選択していると説明している。
ユーザープロフィールには、盗難されたデータの大部分を占める追加の任意入力フィールドがあり、ESEAユーザーはこれらのフィールドを入力して、公開されているプロフィールページをさらに充実させることができます。これらのデータには、好きな飲み物、好きな食べ物、好きなeスポーツ選手、コンピューターのハードウェア仕様、Xboxゲーマータグ、PlayStation Network IDなどが含まれており、他のユーザーがこれらのプラットフォームを通じてやり取りできるようにします。すべてのユーザーは、これらのデータフィールドをプロフィールページで公開されることを認識した上で追加しており、これらの任意入力フィールドへの入力量はそれぞれ異なります。
フォーラムの他のメンバーと情報を共有することと、その情報が他のデータとまとめてオンラインに公開されることは全く別の問題です。データ侵害に伴う通常のリスク、つまりログイン認証情報の使い回しを悪用して攻撃者が他のアカウントに侵入するリスクに加え、他のデータもすべて含まれているため、今回のハッキング被害に遭った150万人がフィッシング攻撃の標的になる可能性が高くなります。
フィッシングは、攻撃者が被害者についてある程度の知識を持っている場合に最も効果的です。これはスピアフィッシングと呼ばれます。攻撃者は、単に広範囲に網を広げて誰かが引っかかるのを待つのではなく、慎重に標的を選び、彼らを騙すことに全力を注ぎます。悪意のあるリンクを仕込んだ一般的なメールと、特定の人物に直接アピールするカスタマイズされたメッセージ、どちらが効果的でしょうか?多くの専門家は、後者の方がより問題が大きいと考えています。
ESEAはユーザーに対し、他のサービスでのパスワード変更、複数のサイトでのログイン認証情報の使い回しをやめること、そして「個人情報を尋ねたり、個人情報を求めるウェブサイトに誘導したりする迷惑メールには注意する」ことを勧告した。同社はこの事件についてFBIと連絡を取り、同様の侵入を防ぐため、12月28日から1月8日の間に一連のセキュリティアップグレードを実施したと述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
