イタリアのセキュリティ企業D3Labsによると、「All World Cards」と呼ばれるマーケットプレイスが、2018年と2019年に盗まれたクレジットカードのデータを複数のハッキングフォーラムで公開し、「前代未聞の太っ腹なキャンペーン」として告知している。
データには、クレジットカード番号や有効期限、CVV、住所氏名、メールアドレスもしくは電話番号が含まれている。
D3 Labsによると、All World Cardsの主催者は、6月上旬に自分たちのサービスを宣伝し始め、他の犯罪集団を呼び込むためにデータを無料で公開している。カードの約半数はまだ使用可能であり、不正使用が確認されていないという。データの大半はVisaとMastercardのもので、4分の3がデビットカードだという。また、ほぼすべてのカードが、有効な銀行識別番号(BIN)と紐付いている。
調査の結果、インドのState Bank of Indiaの顧客が最も被害に遭っており、次いでBanco Santander、Sutton Bank、JP Morgan Chaseの順となっていることが判明した。国別の被害者が最も多かったのはインドで20万人以上、次いでメキシコ、米国、オーストラリアとなっていた。
しかし、Cybleが調査を行ったデータのうち、まだ有効なものは20%程度で、AllWorld Cardsが主張する27%よりも少ないという。
All World Cardsは、「プロ向けのサービス」を名乗り、月額1000ドルでブロンズ、2500ドルでシルバー、5000ドルでゴールドのコースを提供する。会員は支払額に応じて、より多くのデータを利用できたり、最新のデータが入手できるという。個別のカード情報の価格は、0.30ドルから14.40ドルとされている。
KnowBe4のJavvad Malikは、「これらのカードのデータが、単一のソースのものなのか、複数のソースのものなのかを判断するのは難しいが、犯罪者たちは、数年前のデータであってもそれを活用できる」と述べている。
D3 Labsは、被害に遭ったカードのデータを銀行と共有し、警戒を呼びかけている。
