Bleeping Computerは5月11日(米国時間)、「The Post Millennial hack leaked data impacting 26 million people」において、カナダの保守系ニュースWebサイト「The Post Millennial」と米国の保守系ニュースWebサイト「Human Events」がサイバー攻撃を受け、2,600万人以上の個人情報を流出した可能性があると報じた。これらWebサイトはいずれも「Human Events Media Group」を親会社としている。
Webサイトが改ざん
2024年5月2日(米国時間)、両ニュースサイトは攻撃者に侵害され、The Post Millennialの編集者「Andy Ngo」が書いたと主張する偽のメッセージが差し込まれるなど、トップページを改ざんされた。
このメッセージの最後には「すべてのメーリングリスト」「購読者データベース」「同社の執筆者および編集者の個人情報」とするデータへのリンクが表示されており、これらデータはハッキングフォーラムなどに急速に拡散したと見られている。
Bleeping Computerによると、これらデータには次の情報が含まれるという。
- 氏名
- メールアドレス
- ユーザー名
- パスワード
- IPアドレス
- 電話番号
- 住所
- 性別
ニュースサイトから窃取されたデータかどうかは不確か
インターネットセキュリティ研究者のTroy Hunt氏は、これらデータがThe Post MillennialおよびHuman Eventsから窃取されたものか確認できていないと述べ、攻撃者の主張に懐疑的な姿勢をみせている。なお、「すべてのメーリングリスト」と主張するデータは、さまざまなキャンペーンによって窃取された情報を集めたものと推測されている。
これまでのところ、これらデータの出所は不明とされ、The Post MillennialおよびHuman Eventsも沈黙を保っている。Bleeping Computerは両者にコメントを求めているが、返事は得られていない。
データの真偽は不明だが、万が一に備え、これらニュースサイトを購読しているユーザーにはパスワードを変更し、フィッシングメールやソーシャルエンジニアリング攻撃などに警戒することが推奨されている。また、Troy Hunt氏はデータを「Have I Been Pwned: Check if your email has been compromised in a data breach」に登録しており、このWebサイトから影響の有無を確認することができる。