セキュリティ

Instacartは個人情報流出の原因をユーザーのパスワード再利用と発表、しかし二段階認証はなし

次の記事

ラッパーのスヌープ・ドッグの大麻産業向け投資会社がProperを支援、睡眠産業に参入

オンラインショッピングサービスのInstacartによると、最近多発しているアカウント侵犯の原因はパスワードの再利用だという。今や数十万のInstacartユーザーの個人情報が盗まれてしまい、ダークウェブで販売されている。

米国時間7月23日の発表によると、調査の結果、Instacart自身は侵害されていないが、ハッカーは他のサイトを侵害したときにユーザー名とパスワードのリストを入手し、それらをそのまま別のアカウント破りに利用している(Instacartブログ)という。

「今回の場合、第三者の悪意ある者が、以前に他のウェブサイトやアプリを侵害して得たユーザー名とパスワードを使って、一部のInstacartアカウントにログインしたと思われる」と声明で述べている。

この声明の前には、BuzzFeed Newsには「27万あまりのユーザーアカウント情報がダークウェブで販売され、そこにはアカウントのユーザー名、住所、クレジットカード番号の最後の4桁、今週分を含む注文履歴が含まれていた」という記事が掲載されている。

その記事でInstacartのスポークスパーソンはBuzzFeed Newsに対して「盗まれたデータは米国とカナダにいる数百万のInstacartユーザーのごく一部」だと話している。

本当に悪いのはパスワードを再利用したユーザーだろうか?それともパスワードの再利用に対する防止策を何もしていなかった企業だろう?

もちろん、悪いのは両方だ。インターネットのユーザーは各ウェブサイトごとにユニークなパスワードを使うべきだし、パスワードを記憶するためにパスワードマネージャーをインストールすべきだ(未訳記事)。またハッカーにパスワードを盗まれても自分のオンラインアカウントに侵入されないためには、できる限り二段階(二要素)認証を使うべきだ(未訳記事)。サイトがその都度ユーザーの携帯電話にコードを送るため、ハッカーには見られないそのコードを第二のパスワードとしてアカウントを保護するのだ。

しかしInstacartは、すべてをユーザーの責任にすることはできない。Instacartは未だに二段階認証をサポートしていない。ユーザーが二段階認証を有効にしていたら、最初からアカウントのハッキングは防げたはずだ。私が確認したかぎりでは、Instacartには二段階認証を有効にするオプションがないし、サイトのどこにもこのセキュリティ機能への言及がない。

Google(グーグル)が2019年に発表したデータによると、最も基本的な二段階認証でも、ロボットによる自動化された認証情報盗みをかなり防ぐことができる。

二段階認証をサポートする計画があるかという質問に対してInstacartのスポークスパーソンであるLyndsey Grubbs(リンジー・グラブス)氏は、同社がすでに発表している上記の声明を紹介するだけだった。

「セキュリティは最もプライオリティが高いものであり、セキュリティ担当のチームもある。また多層的なセキュリティの仕組みにより、すべてのユーザーのアカウントとデータを保護している」とInstacartはいう。

しかし、二段階認証のような基本的なセキュリティ機能がなければ、Instacartのユーザーは自分のアカウントを守れない。現在のInstacartには、それを期待することはできない。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット:Patrick T. Fallon/Bloomberg/Getty Images

原文へ

(翻訳:iwatani、a.k.a. hiwa