Gemini Advisoryのセキュリティ研究員らは、被害を受けた8都市のリストを公開した。そのうち4都市がフロリダ州の都市で、アイオワ州やカリフォルニア州、オクラホマ州、アイダホ州での発生も確認された。
Geminiによると、合計で2万件以上のデータがハッカーのフォーラムで販売されており、そこには全米50州で発行されたクレジットカード情報が含まれているという。ここで気になるのは、被害を受けた6都市で行われた攻撃が、2年前と変わらぬ手法で実施されていたことだ。
2017年秋に発生したClick2Govの攻撃では、米国とカナダの46の市政機関に影響が及んでいた。Geminiの研究員らはその際に盗まれた決済情報が30万件以下で、被害金額は少なくとも170万ドルとしていた。しかし、その後1年以上が経過しても新たなカード情報がダークウェブに流出していた。
Geminiによるとハッカーらは、その後も一部のシステムに侵入を続けていたようだ。Click2Govの運営元のCentralSquareによると、今回の被害の対象となったのはローカルで保存されていたデータのみだったという。クラウドのストレージには2018年6月にシステムの更新が行われており、被害は起きていない。
つまり、ハッカーらはシステム改変後も脆弱な状態で放置された、ローカルのストレージに侵入していたのだ。さらに、第1段の攻撃で侵入したハッカーが、その後もアクセスを続けていたことも推察できる。2年という時間は長いものにも思えるが、数百万ドル単位の金額を狙うハッカーらにとっては、長すぎる時間ではない。
CentralSquareの広報担当は現在、システムの解析を進めており、被害を受けた顧客らには連絡をとり、既にセキュリティを高める施策を実施したという。