DigitalOceanが請求データに関わるデータ侵害の警告メールを顧客に送ったことが、TechCrunchによって明らかになった。
クラウドインフラストラクチャの大手であるDigitalOceanは、TechCrunchが入手した米国時間4月28日の電子メールで「アカウントの請求プロファイルに関連する詳細が不正に公開されたことを確認しました」と顧客に伝えた。同社は4月9日から4月22日までの2週間の間に、不明な人物が「修正済みの欠陥を利用して、お客様の請求アカウントの詳細の一部にアクセスしました」と述べている。
メールによると、アクセスされたのは顧客の請求書の名前や住所のほか、決済カードの下4桁、有効期限、カード発行銀行名などだという。DigitalOceanは顧客のアカウントは「アクセスされていない」としており、パスワードやアカウントトークンは今回の侵害に「関連していない」としている。
「念のため、お客様のアカウントに追加のセキュリティ監視を実装しました。今後このような不具合が発生する可能性を減らすため、セキュリティ対策を強化しています」。とメールには書かれている。
DigitalOceanは、この脆弱性を修正し、データ保護当局に通知したと述べているが、顧客の請求情報を危険にさらす明らかな欠陥が何であったかは不明だ。
DigitalOceanのセキュリティ責任者Tyler Healy(タイラー・ヒーリー)氏は声明の中で、課金プロフィールの1%が今回のセキュリティ侵害の影響を受けたと述べたが、脆弱性がどのように発見されたのか、またどの当局に知らされたのかなど、具体的な質問には答えなかった。
欧州に顧客を持つ同社はGDPRの対象となり、全世界の年間売上高の最大4%の罰金を科せられる可能性がある。
2020年、このクラウド企業は1億ドル(約110億円)の新規資金調達に続き、さらに5000万ドル(約54億円)の資金調達を行い、その数カ月後には財務状況を懸念して数十名のスタッフをレイオフした。同社は2021年3月には株式を公開し、約7億7500万ドル(約840億円)を調達した。
関連記事:クラウドインフラプロバイダーのDigitalOceanが融資で約110億円を調達
カテゴリー:セキュリティ
タグ:DigitalOcean、データ漏洩、個人情報
画像クレジット:New York Stock Exchange / file photo / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:塚本直樹 / Twitter)
