キャセイからメールが来ました。

CX/CPA/キャセイパシフィック航空 CX548 B777-300ER B-KQM

5月に不正アクセスされてたキャセイパシフィック航空

昨日、キャセイパシフィック航空(CX)から、「Important information about your personal data」という件名のメールが届きました。

CXは先日、5月に不正アクセスによりCXのWebサイトから最大940万人の「氏名、国籍、生年月日、電話番号、 Eメールアドレス、住所、パスポート番号、IDカード番号、フリークエントフライヤープログラムの会員番号、カスタマーサービス上の注記、過去のフライト利用履歴」が流出した可能性があると発表していました。

2年前にCXのサイトからBKK往復の航空券を購入していますがその時の情報だと思うのですが、メールで、「自分の住所、氏名、性別」が流出したという知らせでした。

こういう時代ですから、どこで個人情報が漏れてもおかしくない状況です。
それに流出した情報を消すことは不可能です。

先日も記事にしましたが、金銭を要求するパスワード付きSPAMが来るようになり、アンダーグランドの世界ではそういう個人情報が簡単に手に入るようです。

情報流出は自分が注意していてもどうにもなりませんからね。
自衛手段としては、登録時に識別符を入れてどこから出た情報か判るようにしておく位しかなさそうです。。。

どこから漏れているのか?

以前、日本語がおかしなSPAMを紹介しましたがその後、ちょっとびっくりすることがありました。
同じ様なメールなのですが、メール本文内に使っていたパスワードが記載されていたのです。

===
件名:すぐにお読みください!
この瞬間、私はあなたのアカウント(*****@******.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます!

今私はあなたのアカウントにアクセスできます!
たとえば、*****@******のパスワードは*******です。

===
そのパスワードは懸賞応募やニュース閲覧などでユーザ登録が必要などうでもよいサイトなんかで使うパスワードでした。
クレカなんかを登録するサイトでは、サイトごとのPWにしたりワンタイムPWを付加してます。

多分、そういうサイトから漏洩した情報がアンダーグランド市場で流通しているんでしょうね。
まあ、薄々そういうのは今までに遭遇した案件から想像してましたが・・・

それにしても、ちょっと馬鹿ですよね、この送信者は。
だってSPAMごときで、PWが流出しているのをユーザに知らせているんでからユーザはPW変えちゃうよ。

必然的にアンダーグランドで流通しているこのリストの価値を下げているのですから。

折角、教えてくれたので、あまりアクセスしないサイトからはアカウント削除したり、サイトごとの識別符を付けてないサイトでは付加やら見直しをしました。

それにしてもどこから漏れたのかな?
まあ心当たりのあるサイトはあるけど、識別符を付けてないから決定打がないPWなのが残念。