Lidlが第三者機関からの情報漏えいで顧客に注意喚起

Lidlは、個人情報が第三者のITプロバイダーから流出した可能性があることを明らかにし、欧州複数国の顧客にフィッシングメッセージへの注意を呼びかけました。

ドイツの小売コングロマリット、Schwarz Groupが所有するこのスーパーマーケット大手は、ドイツ、ベルギー、オランダの顧客が今回の事案の影響を受けたと述べています。

Lidlはベルギーおよびオランダの顧客向けの通知の中で、先週この事案を把握したと述べました。

「高いITセキュリティ基準を維持していたにもかかわらず、身元不明の何者かが顧客データを含む別途保管されたファイルに一時的にアクセスし、その一部を窃取しました。オンラインショップのシステム自体は影響を受けていません」と同社は説明しています。

関連記事: 食品小売大手Ahold Delhaize、220万人に影響する情報漏えいを公表

Lidlによると、影響を受けたのはオンラインストアの顧客で、流出したデータには氏名、電話番号、メールアドレス、生年月日、顧客番号が含まれていました。

「現時点では、パスワード、請求先住所、配送先住所、銀行情報、その他の決済情報が影響を受けた可能性は排除できています」と同社は続けています。

「お客様のアカウントは侵害されていません。現時点でデータの悪用を示す具体的な証拠はありませんが、念のため、フィッシングやなりすましの試みにご注意いただくようお願いいたします」

Lidlによれば、同社のITサービスプロバイダーは「直ちに対応」し、影響を受けたシステムのセキュリティを復旧させるとともに、フォレンジック専門家を投入してさらなる調査を進めているとのことです。関係当局にもすでに連絡済みです。

求められる顧客の警戒

Lidlは、窃取されたデータを保有している可能性のある詐欺師による二次的なフィッシング攻撃について注意を呼びかけました。

「常に送信者の正当性を確認してください」と同社は述べています。「不審な点に気づいた場合は、いかなるデータも開示せず、不明なリンクもクリックしないでください」

アプリケーションセキュリティ企業Black Duckのプリンシパル・セキュリティ・エンジニアであるBoris Cipot氏は、Lidlの迅速な対応と透明性を評価しました。

「そうした率直さは、GDPRの下で求められる適切な姿勢を示すものです」と同氏は続けます。

「本当の試練はこれからです。フォレンジック調査をどれだけ早く完了させるか、被害範囲が明らかになる過程でどれだけ明確に情報を発信し続けるか、そして今後サービスプロバイダーに課すセキュリティ要件をどれだけ厳格に見直すか。それが問われることになります」

Cipot氏は、念のため顧客にパスワードを変更し、可能な場合は多要素認証を有効にして、高い警戒を保つよう促しています。

「攻撃者は今後数週間から数カ月にわたり、今回窃取されたデータを利用して、説得力のある詐欺を仕掛けてくることは間違いありません」と同氏は付け加えます。「銀行口座やクレジットカードの明細を注意深く確認し、可能な地域にお住まいの場合はクレジットフリーズの利用も検討してください」

翻訳元: https://www.infosecurity-magazine.com/news/lidl-notifies-customers-of/

ソース: infosecurity-magazine.com