DoorDashもTwilioと同じフィッシング攻撃の被害 ユーザーのメアドや電話番号にアクセス

[ITmedia]

　フードデリバリー大手の米DoorDashは8月25日（現地時間）、顧客とダッシャー（配達員）の個人情報に不正アクセスがあったことが分かったと発表した。サードパーティベンダーがフィッシング攻撃の標的となったことが原因としている。

　同社は「サードパティベンダー」の社名を明かしていないが、米TechCrunchに対し、このベンダーが米Twilioに対する攻撃と同じフィッシングキャンペーンの影響を受けたと語った。

　DoorDashは、攻撃者が同社の顧客の氏名、メールアドレス、配送先住所、電話番号にアクセスしたと説明している。“少数の”顧客のカードの種類とカード番号の下4桁もアクセスされた。ダッシャーについては、氏名と電話番号またはメールアドレスにアクセスされた。なお、6月に買収したWoltのデータは影響を受けていないとしている。影響を受けた個人と関連するデータ保護期間には直接通知している。

　今後同様の被害を受けないように、セキュリティをさらに強化するとしている。また、この件の調査のためにサイバーセキュリティ企業を雇い、法執行機関と協力していると説明した。

　DoorDashには2019年にも不正アクセスがあり、顧客、ダッシャー、パートナー合わせて470万人の個人情報が流出した。