ダイブ・ブリーフ
同小売業者は、春の初めに、フランチャイズ加盟店のドキュメントを保存するために使用される特定のシステムに、許可されていない第三者がアクセスしたことを確認しました。
最初に公開された
ダイブ・ブリーフ:
- ハッカーが春の初めに7-Elevenに侵入し、フランチャイズ加盟店の情報を公開した攻撃について、同社のスポークスパーソンが火曜日にC-Store Diveに確認しました。
- 同小売業者は4月8日に、許可されていない第三者が、フランチャイズ加盟店のドキュメントを保存するために使用される特定の7-Elevenシステムへのアクセスを獲得したことを学びました。7-Elevenの最高情報セキュリティ責任者であるジム・カスレルが、5月1日に影響を受けた個人に送信した手紙の中で述べたところによれば、これらのドキュメントはフランチャイズ申請プロセス中に7-Elevenに提供された個人情報を含んでいました。
- 先週これらの州に提出されたデータ漏洩報告書によれば、マサチューセッツ州、メイン州、バーモント州の約50人がこのインシデントの影響を受けました。国中の他の個人が影響を受けたかどうかは不明です。
ダイブ・インサイト:
7-Elevenのスポークスパーソンは、コンビニエンスストアが「発見時に直ちに調査を開始し、事件を封じ込めるための措置を講じた」と述べた。同社は法執行機関に通知し、第三者のサイバーセキュリティ専門家を雇用し、業務の中断を経験していないと、スポークスパーソンは強調した。
「このインシデントに関係するデータを持つ現在、過去、および将来のフランチャイズ加盟店の限定的な数の個人を特定し、影響を受けた個人に連絡するプロセスを進めています」と7-Elevenのスポークスパーソンは述べた。「顧客データが影響を受けたと信じる理由はありません。」
5月1日の手紙で、カスレルはブリーチで取得したフランチャイズ加盟店の情報には、他の要素の中でも名前とアドレスが含まれていたと述べた。バーモント州の報告書はブリーチに社会保障番号が含まれていたことを指摘し、マサチューセッツ州のサイトは社会保障番号と運転免許証のデータが侵害されたことを指摘した。
カスレルは、7-Elevenが影響を受けた個人が盗難保護機関IDXと最大24ヶ月間のアイデンティティ盗難保護サービスに登録することを手配したと付け加えた。
各州の報告書によれば、ブリーチはマサチューセッツ州で47人、メイン州で2人、バーモント州で1人に影響を与えました。
「また、これがあなたに与えるかもしれない不便についておわびしたいと思います」とカスレルは手紙で述べた。
7-Elevenのブリーチの確認は、サイバーギャングのShinyHuntersが攻撃の責任を主張していたという報告が浮上した数週間後に来ました。同ギャングは、コンビニエンスストアから600,000件以上のSalesforceレコードを侵害したと述べていた。7-Elevenのスポークスパーソンは、この情報について尋ねられたときに報道時間までに対応しなかった。4月、Salesforceのスポークスパーソンはレポートを確認するよう求められたときにコメントを拒否した。
7-Elevenは最近サイバー攻撃を受けた唯一の主要コンビニエンスストアではありません。約200の店舗を持つCircle Kのフランチャイズ加盟店であるGas Express LLC が、1月にブリーチを報告したことで従業員の名前、社会保障番号、運転免許証番号が公開されました。約3週間後、Gas Expressはジョージア州でブリーチ中に従業員を保護できなかったこと、およびブリーチが発生したときに影響を受けた従業員に通知できなかったことで訴えられました。その訴訟は今月初めに解決されました。
翻訳元: https://www.cybersecuritydive.com/news/7-eleven-cyberattack-franchisee-data/820698/
