米キャリアVerizonのサブブランドでデータ流出か〜アカウント乗っ取りなど被害続出

 
米大手通信キャリアVerizonが運営する格安サブブランドVisibleで、利用者のアカウントが乗っ取られ、勝手にスマートフォンを購入されるなどの被害が多発しています。大規模なデータ流出が疑われています。

手続きはオンラインのみのVisible

VisibleとはVerizonのサブブランドで、コスト削減のために実店舗を持たず、申し込みや手続きなどをすべてオンラインのみで行っています。データプランの料金もVerizonなどと比べると安く、また今年始めからは5GやeSIMにも対応しているため、人気が急上昇しています。
 
ところがVisibleユーザーのアカウントが乗っ取られ、勝手にスマートフォンが購入されるという被害が相次ぎ、TwitterやRedditなどのソーシャルメディアに被害を訴える声が溢れています。

アカウントが乗っ取られ、勝手にiPhoneが注文される

アカウントに紐付けられているEメールアドレスが何者かによって勝手にリセットされ、スマホなどが大量に注文される（当然ながら請求は被害者にいく）というのが一般的な手口のようです。
 
あるRedditユーザーは「アカウントがハッキングされてiPhone13が注文され、PayPalアカウントから1,000ドルが引き出された」と訴え、また別のユーザーは「昨日Visibleと契約し、Webサイトで812ドルのiPhoneを購入した。そして今朝、アカウントに紐付けられたメールアドレスが変更されたとのメールが届いた。それから7時間後、iPhoneの出荷先が変更されたというメールがきた。アカウントにログインすることもできない」と書き込んでいます。

Visibleが公式ツイート

これらの訴えを受けてVisibleは現地時間10月13日午前11時頃に、公式ツイッターに声明を投稿しました。
 
Visibleの調査によると、今回の事件は攻撃者がユーザー名およびパスワードを入手、それらを使ってVisibleの会員アカウントへアクセスしたことによって発生したとのことです。
 
Visibleはユーザー名およびパスワードを複数のアカウントで使いまわしている場合、それらを変更するよう推奨するとともに、Visibleが顧客に対しパスワードやアカウントPINなどを問い合わせることはない、と記しています。
 

Our investigation indicates that threat actors were able to access username/passwords from outside sources, and exploit that information to login to Visible accounts.

— Visible (@Visible) October 13, 2021

Protecting customer information — including securing customer accounts — is critically important to our company and our customers. If you feel your account has been compromised, please reach out to us via chat at https://t.co/Gcd1X2kGfJ.

— Visible (@Visible) October 13, 2021

Visibleの一連の公式ツイートには、データが流出したとは記されていません。しかし同ツイートに対し、「アカウントのメールアドレスが変更されていてアクセスできない」「待っても待っても連絡がこない」「メールアドレスも住所も変更されてしまったのでどうしようもない」など、怒りと嘆きのツイートが投稿されており、問題の収束にはしばらく時間がかかりそうです。

 
 
Source:XDA Developers, Visible/Twitter
Photo:Visible/Facebook
(lunatic)