Instacartのユーザーデータがダークウェブで販売されている

20万件以上のInstacartアカウントが侵害されたとされ、収集されたデータは現在ダークウェブで販売されている。

水曜日からすでにアクティブになっているInstacartアカウントのデータがダークウェブで販売されている可能性がある。Instacartを利用する数百万人の消費者のうち、漏洩が確認されているアカウントはわずか278,531件だ。

発見されたアカウントの多くは重複しているか、本物ではない可能性があるため、データ侵害の深刻度はまだ不明です。Instacartはユーザーデータの侵害は発生していないと主張しており、これは組織的なフィッシング攻撃であった可能性があります。

データが漏洩したユーザーは、最新のショッピングデータとクレジットカード情報が正しいことを確認しました。データには、クレジットカード番号の下4桁、氏名、注文履歴のみが含まれているようです。

「現時点ではデータ漏洩は認識しておりません。当社はデータ保護とプライバシーを非常に重視しております」と、Instacartの広報担当者はBuzzFeed Newsに語った。「Instacartプラットフォーム外では、攻撃者がフィッシングやクレデンシャルスタッフィングの手法を用いて個人を標的にする可能性があります。お客様のアカウントがInstacartプラットフォーム外のフィッシング詐欺やその他の行為によって侵害された可能性があると判断した場合、お客様にパスワードの自動更新を促し、積極的にご連絡いたします。」

データは6月から侵害発覚までアップロードされていたようです。アカウントは2つのダークウェブストアで1つ2ドルで販売されています。ユーザーはパスワードを更新し、2要素認証を使用して、今後同様の攻撃の影響を受けないようにする必要があります。

Appleは、Face IDをシステム全体の認証方法として活用することで、iOS上でパスワード管理をシームレスに実現しようと試みてきました。また、パスワードマネージャー開発者向けに、ユーザーがより強力なパスワードを作成・管理できるようにする新たなオープンソースプロジェクトを発表しました。