US supermarket chain Wegmans notifies customers of data breach
2021/06/18 BleepingComputer — Wegmans Food Markets は、設定上の問題により、2つのデータベースがインターネット上に公開されていることを認識した後に、顧客の一部の情報が流出したことを通知した。Wegmans は、中部大西洋と北東部に 106店舗を持つ、大手のローカル・スーパーマーケット・チェーンである。
このストア・チェーンは 1916年に設立され、5万人以上の従業員を擁する米国最大の民間企業の一つだ。スーパーマーケット・チェーンの Wegmans はプレスリリースにおいて、「これまで発見されていなかった設定上の問題により、Wegmans 内部に保管され、また、ビジネス目的で使用されるべき、2つのクラウド・データベースが、外部からのアクセスを許しまう状態になっていたことが判明した。この問題は、2021年4月19日前後に、第三者のセキュリティ研究者から指摘を受け、その後に、設定上の問題を確認している」と述べている。
今回のデータ流出が発覚した後に、Wegmans は大手フォレンジック会社と契約し、事件の調査とデータベースの誤設定の修正を行った。流出した顧客情報には、氏名/住所/電話番号/生年月日/ショッパーズクラブ番号に加えて、Wegmans.com アカウントの電子メールアドレスとパスワードなどが含まれている。ただし、Wegmans によると、ソルトされたパスワード・ハッシュのみが含まれるデータベースは、ハッシュとソルトの両方が行われ、セキュリティで保護されないデータベースに、実際のパスワードは保存されていない。なお、同社は、「Social Security Numbers が影響を受けることはなく (Wegmans はこの情報を収集していない) 、支払いカードや銀行情報も含まれていない」と付け加えている。
このインシデントが発見された後に Wegmans は、侵害されたWegmans.com アカウントに関連する名前/電話番号/住所/生年月日/Wegmans Shoppers Club Number に、攻撃者がアクセスできることを発見したと、この記事は指摘しています。しかし Wegmans は、クレジットカードやデビットカードの、支払い情報をサーバーに保存していないため、それらの情報が今回のインシデントで流出することはなかったとのことです。
IoT OT Security News 