by Focal Foto

中国発のオンラインマーケットプレイスを手がけるTemuから、顧客情報8700万件を盗み出したとして、脅威アクターがデータの一部をハッキングフォーラムで流出させました。脅威アクターはTemuのシステムへの侵入に成功したと主張していますが、Temuは事実ではないと主張して侵入を否定しています。

Temu denies breach after hacker claims theft of 87 million data records

https://www.bleepingcomputer.com/news/security/temu-denies-breach-after-hacker-claims-theft-of-87-million-data-records/



2024年9月16日に、「smokinthashit」と名乗る脅威アクターが、アンダーグラウンドフォーラムのBreachForumsで、Temuから8700万件のデータを窃取したと投稿してデータの買い手を募りました。

脅威アクターは証拠として、ユーザー名、ID、IPアドレス、氏名、生年月日、性別、配送先住所、電話番号、ハッシュ化されたパスワードなどを含むデータのサンプルを公開しています。



この件についてコメントを求めたIT系ニュースサイト・BleepingComputerに対し、Temuは公開されたデータは同社のものではないと断定した上で、データの流出は誤情報であり、そのような誤情報を拡散した者を告訴すると述べました。

Temuは「当社のセキュリティチームがデータ漏えい疑惑について徹底的な調査を実施し、その主張が完全な虚偽であることを確認しました。出回っているデータは当社のシステムに由来するものではなく、当社の取引記録と一致するデータは1行もありません。当社は、当社の評判を傷つけたり、ユーザーに損害を与えたりするあらゆる試みを深刻に受け止めており、虚偽の情報を拡散し、そのような悪質な行為から利益を得ようとする者に対して法的措置をとる権利を留保しています」と述べました。

Temuはまた、モバイルアプリケーション・セキュリティ評価(MASA)認証、独立機関による検証、バグバウンティプラットフォームであるHackerOneのバグ報奨金プログラム、支払いカード業界データセキュリティ基準(PCI DSS)への準拠など、業界をリードするデータ保護およびサイバーセキュリティ慣行を行っていることを強調したとのことです。



一方、脅威アクター側もTemuへの侵入に成功したのは事実であると宣言しています。

BleepingComputerからの接触に対して、脅威アクターは依然としてTemuの社内システムの電子メールおよび内部パネルへのアクセスを維持していると述べており、これはコードの脆弱(ぜいじゃく)性によるものだと主張しました。

ただし、脅威アクターはTemuによって偽物であると断定されたサンプルデータ以外には証拠を提示しておらず、BleepingComputerは侵入の真偽について判断できなかったとしています。

その上で、BleepingComputerは「もしあなたがTemuのユーザーであれば、用心のため、アカウントの2要素認証を有効化し、パスワードを新しくて使い回しではないものに変更し、フィッシング攻撃に警戒するのが賢明でしょう」と呼びかけました。

脅威アクターからの反応を受けて、BleepingComputerは再度Temuに問い合わせを行いましたが、記事作成時点では回答は得られていないとのことです。