スペインのファッション小売業者MANGOは、マーケティングベンダーが個人情報の漏洩を引き起こしたことを受け、顧客にデータ漏洩の通知を送っています。
1984年にバルセロナで設立されたMANGOは、衣料品やファッションアクセサリーのデザイン・製造を行い、120か国2,800か所で実店舗およびECストアを運営しています。
同社は16,300人を雇用し、年間売上高は33億ユーロ、そのうち約30%がオンライン購入によるものです。
2025年10月14日、同社は顧客に対し、マーケティングキャンペーンで使用された個人情報が漏洩したことを知らせるデータ漏洩通知を送りました。
「MANGOは、外部のマーケティングサービスの一つが一部顧客の個人情報への不正アクセスを受けたことをお知らせします」と通知には記載されています。
今回のインシデントで流出したデータの種類には、顧客の名、国、郵便番号、メールアドレス、電話番号が含まれます。
MANGOは、姓、銀行情報、クレジットカード情報、ID、パスポート、アカウント認証情報は今回のインシデントで漏洩していないと明言しています。
漏洩データに姓が含まれていないことでリスクは軽減されますが、攻撃者は残りの情報をフィッシング攻撃などに利用する可能性があります。
また、同社は企業インフラやITシステムには影響がなく、事業運営に支障はなかったと述べています。
「すべてが通常通り稼働しており、Mangoの企業インフラやシステムは侵害されていないことをお知らせします」と同社は述べています。
マーケティングサービスプロバイダーでデータ漏洩が判明した際、すべてのセキュリティプロトコルが発動されましたが、プロバイダー名は明かされていません。
また、スペインデータ保護庁(AEPD)および関係当局にも漏洩について通知したとしています。
本件による情報流出を懸念する顧客のため、専用のメールアドレス([email protected])および電話窓口(900 150 543)が設けられています。
BleepingComputerはMANGOに対し、サイバー攻撃の詳細や影響範囲について問い合わせましたが、記事公開時点では回答を得られていません。
現時点でMANGOを脅迫ポータルに掲載したランサムウェアグループはおらず、攻撃者は不明のままです。
