49百万人のDell顧客の住所を盗んだと主張した人物は、TechCrunchが学んだところ、別のDellポータルからさらに多くのデータを取得したようです。
新たに侵害されたデータには、Dell顧客の氏名、電話番号、電子メールアドレスが含まれています。これらの個人データは、顧客の「サービスレポート」に含まれており、交換ハードウェアやパーツの情報、現地エンジニアからのコメント、ディスパッチ番号、場合によっては顧客のコンピュータからアップロードされた診断ログも含まれています。
TechCrunchが入手したスクレイプされたデータのサンプルによると、いくつかのレポートには、顧客が撮影したと思われる写真が含まれています。これらの写真の一部には、顧客が写真を撮影した場所の正確なGPS座標を示すメタデータが含まれているという情報もあります。
TechCrunchは、顧客の個人情報が本物であることを確認しました。
これは2週間連続でさらに暴露されたDell顧客データです。先週、Dellはデータ侵害を経験したと顧客に通知し、技術巨人が「Dellポータルに関連する、Dellからの購入に関連する顧客情報の種類が限られたデータベースに関与する事件を調査している」と電子メールで述べました。
盗まれたデータには、顧客の氏名と住所、および「Dellハードウェアおよび注文情報、サービスタグ、アイテムの説明、注文日、関連する保証情報」などの不感データも含まれていました。
Dellはその時点で侵害を軽んじ、顧客の住所の漏洩が「顧客には重大なリスクをもたらさない」と述べ、盗まれた情報には「電子メールアドレスや電話番号などの非常に機微な顧客情報は含まれていない」と述べました。
ハンドル名であるMenelikと名乗る人物が両方のデータ侵害に責任を負ったと言います。TechCrunchとのインタビューで、Menelikは盗んだデータのサンプルを提供し、そのデータが正当であることをTechCrunchが検証できるようにしました。Menelikはまた、Dellに送った電子メールのコピーも提供し、同社はMenelikからのデータ侵害に関する電子メールを受け取ったことをTechCrunchに確認しました。
彼が別のDellポータルで別の欠陥を見つけたようです。それにより、彼はさらに多くの顧客データをスクレイピングすることができました。
「私は電子メールと電話番号データについてかなりのことを見つけましたが、それをまだ活用するつもりはありません。Dellが現在の話題にどのように対応するか見たいです。」
この記事の翌日、Dellの不明な広報担当者はTechCrunchに対して、会社がその報告について認識しており調査していることを語りました。
Menelikは、約3万人の米国の顧客のデータをスクレイピングしたと述べ、彼が利用している欠陥は、最初の4900万人の顧客記録を得る際に利用したバグと似ていると述べました。しかし、この2番目の脆弱性により、彼は最初の侵害時ほど迅速にデータを収集することができません。
TechCrunchが最初に報告したように、最初の侵害では、MenelikはDellの顧客データをスクレイピングすることができたと述べました。それはDell製品やサービスを再販する会社を運営していることを装った「パートナー」として複数のアカウントを登録したポータルからでした。Dellが彼のリクエストを承認すると、Menelikは顧客サービスタグをブルートフォースできたと述べました。
Menelikは、知られたハッキングフォーラムに広告を掲載してデータを売ろうと試みました。この記事の執筆時点では、リスティングは削除され、Menelikはデータを売ったためだと述べましたが、金額については言及しませんでした。
新しいデータをどうするつもりか尋ねられたとき、Menelikはまだ決めていない、と述べました。
いくつかのスクレイプされたデータには、欧州連合の顧客に関する個人情報が含まれていることから、TechCrunchはアイルランドの国立データ保護当局に連絡しましたが、即座に回答はもらえませんでした。
5月15日水曜日午後2時45分(米国東部時間)のアップデート:この記事にDellのコメントを追加しました。
お問い合わせ
このDellハッキングについてさらなる情報をお持ちですか?または同様のデータ侵害について?作業外のデバイスから、Lorenzo Franceschi-Bicchieraiに、Signalで+1 917 257 1382、Telegram、Keybase、Wire @lorenzofb、またはメールで安全に連絡できます。TechCrunchにはSecureDropでも連絡できます。
