しかし、実際に奪われた顧客データの数は、当時報じられていた数の14倍にも及ぶことが明らかになった。
7月14日のZD Netの記事によると、ハッカーらは先週末から盗み出したファイルの販売を地下フォーラムで開始しており、そこには1億4200万人分の顧客データが収められているという。サイバー犯罪者らはファイルの対価として約3000ドル相当の暗号通貨を求めている模様だ。
MGMリゾーツはZD Netの取材にコメントを寄こし、「当社は既に報道済みの昨年夏の事件について認識しており、適切な対処を行った」と述べた。
データの売り手は、2019年のハッキング事件の全容はまだ報じられていないと述べており、MGMグランドホテルのデータも入手済みだとしている。
盗まれたファイルには、顧客の氏名やEメールアドレス、住所、電話番号、誕生日などが収められていた模様だ。ただし、クレジットカードのデータは含まれておらず、これは「カード情報やパスワードなどは奪われていない」との事件の発覚当時のMGMの声明と一致している。
しかし、カード情報が盗まれていないとしても、事の重大さは変わらない。地下のフォーラムで販売中のデータは、サイバー犯罪者たちがなんとしてでも手に入れたい種類のものだ。
詳細な個人データはフィッシング詐欺を行う場合に非常に有用だ。サイバー犯罪者は高度にターゲティングされた詐欺メールを送りつけ、他人のコンピュータネットワークに侵入する。内部に入り込んだハッカーらは、さらに次の獲物を狙うことになる。
さらに、電話番号データの流出で起こり得る新たなリスクが、近年急増する「SIMスワップ詐欺」と呼ばれる犯罪だ。詐欺犯たちは携帯キャリアを騙して、自分の携帯端末に被害者の電話番号を紐付ける。そして、SMSを受け取って2段階認証を突破し、被害者のアカウントから金を盗み取るのだ。
2015年には15歳の少年が個人投資家の仮想通貨アカウントを不正に操作し、2400万ドル相当の仮想通貨を盗んでいた。