ShinyHunters傳竊得保全巨人ADT、遊輪業者Carnival數百萬筆資料

ShinyHunters上週透過其資料公開網站貼出對ADT的最後通牒，宣稱持有超過千萬筆包含個人可識別身份資訊（PII）和其他的公司內部資料，要求這家保全龍頭聯繫支付贖金事宜，否則將公布資料及IT環境漏洞。

ADT向BleepingComputer證實此事，表示在4月20日偵測到客戶及潛在客戶資料遭未授權存取。ADT初步調查發現有個資外洩情形。

ADT表示，外洩的個資包括姓名、電話和地址，部份資料還包含出生日期、社會安全碼後四碼、稅籍資料等，但不包含支付資訊，如信用卡或銀行帳號，客戶安全系統沒有受到影響或破壞。該公司表示受影響的個人有限，公司也已通知他們。

此外，ShinyHunters上週聲稱取得遊輪及旅遊業者Carnival資料，可能因勒贖未成，於近日將資料於網上公開。資料外洩查詢服務Have I Been Pwned顯示，Carnival外洩的資料包含870萬筆記錄，涉及750筆電子郵件信箱。根據資料判斷，外洩的資料屬於Carnival子公司荷美遊輪（Holland America）的客戶忠誠方案Mariner Society的客戶資料。外洩的資料類別包含姓名、出生日期、性別、電子郵件、地區、忠誠方案的客戶級別等。

Have I Been Pwned指出，Carnival已經證實本案是起自一位用戶遭釣魚攻擊被竊取帳密，目前正在調查中。不過The Register報導說，這家遊輪者對於哪些資料外洩，是否為勒索事件，以及攻擊者如何成功存取皆未回應或證實。

ShinyHunters從去年已先後宣稱取得上百家知名企業客戶或系統憑證資料，近期知名受害者還包括思科、歐盟執委會等。