Starbucks シンガポールでハッキング:219,000 人分の顧客データが漏洩

Hacker sells stolen Starbucks data of 219,000 Singapore customers

2022/09/16 BleepingComputer — アメリカの人気コーヒーハウス・チェーン Starbucks のシンガポール支社は、219,000 人以上の顧客に影響を与えるデータ侵害に遭ったことを発表した。この情報漏えいは、9月10日に脅威者が人気のハッキング・フォーラムで、Starbucks の顧客 219,675 人分の機密情報を含むデータベースの販売を申し出たことで発覚した。

ハッキング・フォーラムのオーナーである pompompurin は、提供されたサンプルには信憑性の高い証拠が含まれていると述べており、盗まれたデータの有効性を支持している。

Starbucks Singapore forum post selling database contents
販売フォーラムでの Starbucks シンガポールのデータベースの投稿

今日、Starbucks シンガポールは、データ流出について顧客に通知を送り、ハッカーが以下の情報を盗んだ可能性があると説明している。

  • 氏名
  • 性別
  • 生年月日
  • 携帯電話番号
  • Eメール・アドレス
  • 居住地

今回の情報漏えいの対象は、Starbucks のモバイル・アプリを使用して注文を行った顧客、または、同チェーンがシンガポールで展開する125店舗のうち1店舗で商品を購入するために、オンラインストアを利用した顧客のみとなっている。

この点については、Starbucks の広報担当者が地元メディアに説明し、データ漏洩が改めて確認された。また、Starbucks ではデータを保存していないために、クレジットカード情報などの金融情報は漏洩していないとのことだ。

Letter received by one of Starbuck's customers
Starbucks の影響を受けた顧客が受け取ったメッセージ (hardwarezone.com.sg)

Starbucks シンガポールでは、アカウントのパスワード/リワードの会員資格/クレジット情報などは影響を受けていないとみなしているが、パスワードをリセットし、不審な通信に対して警戒を続けるよう顧客に呼びかけている。

ハッキング・フォーラムでのデータ販売者は、盗み出したデータのコピー1部を、すでに  $3,500 で販売したと主張しており、興味を持った買い手には、少なくともあと4部を提供する意向を示している。多くの脅威者にデータを販売すると、複数の攻撃が同時に行われることで価値が低下するため、脅威者はこのように販売数を制限しているようだ。

このデータが流通することで、Starbucks シンガポールの顧客がフィッシング攻撃/ソーシャル・エンジニアリング/詐欺などのターゲットになるリスクが高まる。

注目すべき点は、この脅威者は当初、侵害された管理パネルへのアクセスを $25,000 で提供し、侵入者がプロモーション・コードの捏造や会員レベルの変更を行えるようにしていたことだ。しかし、ある時点で管理画面へのアクセスが失われたために、このオファーは撤回された。現在は、データベースの内容のみが販売されている。

Update 9/17/2022: BleepingComputer は、Starbucks の広報担当者から以下のコメントを受け取った。

我々は、シンガポールの一部の顧客アカウントに影響を及ぼしている不正行為を認識しており、同市場でライセンスを持つオペレーターと協力して、顧客情報の保護に努めている。他の大手小売業者と同様に、Starbucks も不正行為を常に監視する安全策を講じており、今回のケースでも不正行為を早期に発見することができた。顧客には、データの安全性を保護するために、特に金融情報を保管しているサイトでは、異なるユーザー名とパスワードを使用することを推奨する — Starbucks

スタバのモバイル・アプリですが、日本だとプリペイドカードと紐付けられていて、残高が少なくなったときに、クレジットカードから充当する形式になっています。なかなか便利なアプリなので、使っている方も多いかと思います。シンガポールも、同じ仕組みなのでしょうかね? そして、どのような原因で、この情報漏えいが生じたのでしょうかね? パスワード変更の、良い機会になるかもしれませんね。

%d bloggers like this: