DoorDash が先ごろ報じられた個人情報流出を確認した。
フードデリバリーの有力企業は木曜日の公式ブログで顧客、従業員、登録先、合計490万件の個人情報がハッカーに窃取されていたと発表した。同社によればハッキングが起きたのは今年の5月4日で、2018年4月日以降のユーザーにには被害はなかったという。
DoorDashがデータを盗まれたことに気づくのに5カ月もかかった理由は明らかではない。
DoorDashの広報担当であるMattie Magdovit(マッティ・マグドヴィッド)氏は「実際にハッキングされたのはサードパーティーのプロバイダーだったため」と発見の遅れを説明している。このプロバイダーの実名は明かされていないが同氏は、「我々はただちに対策チームを組織し、外部のセキュリティー専門家に詳細の調査を依頼した」としている。
2018年4月4日ないしそれ以前にこのプラットフォームに参加したユーザーは、氏名、メールアドレス、配達先住所、注文履歴、電話番号などが盗まれた。パスワードも流出したがハッシュ化され、ソルトを付加されていたという。
DoorDashによれば、盗まれたカード情報は番号の下4桁の数字だった。幸いカード番号全体、セキュリティーコード(CVV)は安全だった。配達従業員と登録マーチャントは銀行口座番号の下桁を盗まれた。
また約10万人の配達従業員の運転免許情報も流出したという。
ちょうど1年前のいまごろ、DoorDashの顧客多数がアカウント情報がハッキングされたと苦情を申し立てた。当時DoorDashは自社システムが侵入されたことを否定し、カード情報の悪用はクレデンシャルスタッフィングによるものだと主張した。これは一種の総当り法で、ハッカーは他のサイトから流出したパスワードとユーザーのリストを利用し、別のサイトで同じユーザーが同じパスワードを利用しているかどうか試してみるなどの方法による攻撃だ。しかしTechchCrunchが取材した多くのユーザーはパスワードの使いまわしを否定し、「DoorDashのみのパスワードだった」と主張していた。
当時、我々の取材に対し、DoorDashはアカウントがどのような方法で攻撃を受けたのか説明できなかった。
[原文へ]
(翻訳:滑川海彦@Facebook)