ハッカーがTemuから8700万件の顧客データを盗んだと主張、Temuは否定

この件についてコメントを求めたIT系ニュースサイト・BleepingComputerに対し、Temuは公開されたデータは同社のものではないと断定した上で、データの流出は誤情報であり、そのような誤情報を拡散した者を告訴すると述べました。

Temuは「当社のセキュリティチームがデータ漏えい疑惑について徹底的な調査を実施し、その主張が完全な虚偽であることを確認しました。出回っているデータは当社のシステムに由来するものではなく、当社の取引記録と一致するデータは1行もありません。当社は、当社の評判を傷つけたり、ユーザーに損害を与えたりするあらゆる試みを深刻に受け止めており、虚偽の情報を拡散し、そのような悪質な行為から利益を得ようとする者に対して法的措置をとる権利を留保しています」と述べました。

Temuはまた、モバイルアプリケーション・セキュリティ評価(MASA)認証、独立機関による検証、バグバウンティプラットフォームであるHackerOneのバグ報奨金プログラム、支払いカード業界データセキュリティ基準(PCI DSS)への準拠など、業界をリードするデータ保護およびサイバーセキュリティ慣行を行っていることを強調したとのことです。

一方、脅威アクター側もTemuへの侵入に成功したのは事実であると宣言しています。

BleepingComputerからの接触に対して、脅威アクターは依然としてTemuの社内システムの電子メールおよび内部パネルへのアクセスを維持していると述べており、これはコードの脆弱(ぜいじゃく)性によるものだと主張しました。

ただし、脅威アクターはTemuによって偽物であると断定されたサンプルデータ以外には証拠を提示しておらず、BleepingComputerは侵入の真偽について判断できなかったとしています。

その上で、BleepingComputerは「もしあなたがTemuのユーザーであれば、用心のため、アカウントの2要素認証を有効化し、パスワードを新しくて使い回しではないものに変更し、フィッシング攻撃に警戒するのが賢明でしょう」と呼びかけました。

脅威アクターからの反応を受けて、BleepingComputerは再度Temuに問い合わせを行いましたが、記事作成時点では回答は得られていないとのことです。

2024年9月24日 追記：
Temuの日本における広報代理からの連絡によると、2024年9月19日、BleepingComputerは記事を更新し、問題の脅威アクターについて「すでに公開されているデータを偽って販売しようとしたことによりBreachForumsから追放されました。この主張を調査しているCheckPointResearchはBleepingComputerに対し、脅威アクターが投稿した情報の一部は、2021年中旬にさかのぼるforeup.comでのデータ侵害に由来しているようだと語りました」との文言を追加したとのことです。