大手ファッションブランドのJ.Crewが、同社顧客のオンラインアカウントが「権限のない1つのグループ」によってアクセスされたと発表した。このアクセスは約1年前のことだが、今になってこの被害を公表した。
同社は米国時間3月3日にカリフォルニア州司法当局を通じて公表した書面で、ハッカーは2019年4月ごろに顧客のアカウントにアクセスしたと述べた。この書面によれば、ハッカーは顧客のオンラインアカウントからカード種別、カード番号の下4桁、有効期限、請求先住所などの情報を取得した。オンラインアカウントには顧客の注文番号、配送確認番号、配送状況も保存されていた。
同社の広報担当者は、ハッカーがクレデンシャルスタッフィング攻撃(パスワードリスト型攻撃)のテクニックを使ったことを認めた。これは、すでに流出しているユーザー名とパスワードを使って別のウェブサイトのアカウントにアクセスするテクニックだ。
広報担当者は、影響を受けた顧客は「少数」だと述べたが、正確な数には言及しなかった。カリフォルニア州で事業を運営している企業は、同州の500人以上の住民に関係するセキュリティの問題が発生したら司法当局に報告することが義務づけられている。当局に提出された書面には「複数の州」への通知と記載されており、カリフォルニア州在住以外の顧客にも影響が及んだことが示唆されている。
さらに重大な疑問は、なぜJ.Crewはこ
コメント