web3決済インフラ「トランサック」、9万人以上の個人情報を流出
web3決済インフラ提供のトランサック(Transak)の従業員のラップトップがフィッシング攻撃を受けたことにより、同サービス全ユーザーの1.14%にあたる92,554名の個人情報が流出した。トランサックが10月21日に公式ブログにて発表した。
公式ブログによると、攻撃者は従業員の認証情報を使用し、文書スキャンおよび検証サービスに使用しているサードパーティのKYCベンダーのシステムにログイン。これによりベンダーのダッシュボード内に保存されている名前、生年月日、身分証明書(パスポート、運転免許証など)、自撮り写真や動画といったユーザー情報にアクセスしたとのことだ。
しかしトランサックは、メールアドレス、電話番号、パスワード、クレジットカード情報、社会保障番号、その他の金融データなど、金融上の機密情報はいかなる形でも漏洩していないと強調している。
また現在、データが悪用された様子はないとトランサックは伝えているが、影響を受けたユーザーは警戒を怠らず、疑わしいアクティビティを監視するよう注意喚起がされている。
なお影響を受けたユーザーにはトランサックから連絡されており、メールを受け取っていない場合については、今回の攻撃による影響を受けていないことを意味するとのこと。
影響を受けたユーザーに対しては、情報の悪用から身を守るためのアドバイスやリソースの他、ID監視サービスなどのリソースも提供されるとのこと。
また本件についてトランサックは、英国の情報コミッショナー事務局(ICO)や欧州連合(EU)およびアメリカの規制当局にも通知を行ったとも述べている。
なおランサムウェアグループのストーマス(Stormous)は今回の攻撃について、トランサックより300GBのデータを盗んだという犯行声明を出しており、身代金を支払わなければさらに盗んだデータを公開すると脅している。しかしトランサックは、ストーマスとの交渉に入っていないと一部メディアにて報じられている。
トランサックは2019年に米国で創業し、2020年より分散型アプリケーション(DApps)開発事業者向けに法定通貨による暗号資産の売買に係る決済インフラの提供を行っている企業。
現在同社のサービスは、米国、英国、EUを中心に世界各地で導入されており、英国の金融行為監督機構(FCA)に暗号資産会社として登録されている他、ポーランドではVASP(暗号資産サービスプロバイダー)として認められている。
今年7月にトランサックは、分散型取引所(DEX)の「ユニスワップ(Uniswap)」開発元のユニスワップラボ(Uniswap Labs)が提供する「ユニスワップウォレット(Uniswap Wallet)」上でのオンランプサービスの提供を開始している。
参考: トランサックブログ
画像:iStocks/Panorama-Images