フードデリバリー大手の米DoorDashは8月25日(現地時間)、顧客とダッシャー(配達員)の個人情報に不正アクセスがあったことが分かったと発表した。サードパーティベンダーがフィッシング攻撃の標的となったことが原因としている。
同社は「サードパティベンダー」の社名を明かしていないが、米TechCrunchに対し、このベンダーが米Twilioに対する攻撃と同じフィッシングキャンペーンの影響を受けたと語った。
DoorDashは、攻撃者が同社の顧客の氏名、メールアドレス、配送先住所、電話番号にアクセスしたと説明している。“少数の”顧客のカードの種類とカード番号の下4桁もアクセスされた。ダッシャーについては、氏名と電話番号またはメールアドレスにアクセスされた。なお、6月に買収したWoltのデータは影響を受けていないとしている。影響を受けた個人と関連するデータ保護期間には直接通知している。
今後同様の被害を受けないように、セキュリティをさらに強化するとしている。また、この件の調査のためにサイバーセキュリティ企業を雇い、法執行機関と協力していると説明した。
DoorDashには2019年にも不正アクセスがあり、顧客、ダッシャー、パートナー合わせて470万人の個人情報が流出した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR