小売業者トイザらスのカナダ支店は木曜日、攻撃者がデータベースにアクセスし、一部の個人情報を盗んだ上で、そのデータをオンラインに公開したことを顧客に通知しました。
木曜日の侵害開示通知で、影響を受けた顧客にメール送信し、さらにSNSで共有した内容によると、同店は7月30日にデジタル侵入を発見しました。侵入者が「インデックスされていないインターネット上」に盗んだ顧客データを投稿したと主張した後のことです。
その後の調査で、記録が実際に盗まれていたこと、そして盗人がトイザらスのデータベースから氏名、住所、電話番号、メールアドレスをコピーしていたことが判明しました。
「この事件にはパスワード、クレジットカード情報、または同様の機密データは含まれていないことを強調したい」と同社の警告文には記載されています。
通知には、いつ侵害が発生したのか、犯人が顧客データを盗むまでどれくらいの期間トイザらスのネットワークにアクセスしていたのか、また記録をオンラインで公開する前に同社に脅迫を試みたかどうかについては説明されていません。
トイザらスは、メールの詳細や侵害で何人分の情報が盗まれたのかについて、The Registerの質問に回答しませんでした。回答があり次第、本記事を更新します。
顧客に送付された開示文書で、トイザらスは、セキュリティ問題の封じ込めと調査のために外部のサイバーセキュリティ専門家を雇ったと述べています。また、プライバシー規制当局への侵入報告も進めているところです。
顧客データを漏洩した企業は通常、無料のデジタルIDおよび詐欺監視サービスを提供します。なぜなら、犯罪者はトイザらスのデータベースから盗んだ個人情報を使って、ID詐欺やなりすまし(特にSNSサイトで簡単に見つかる他の個人情報と組み合わせた場合)、さらにはパーソナライズされたフィッシング攻撃、ドクシング、さらには物理的なストーキングや嫌がらせなど、あらゆる悪事を働くことができるからです。
しかし、この玩具小売業者はそのようなサービスを顧客に提供していません。
同社は侵害の責任者については明らかにしていませんが、トイザらスがオンラインで盗まれた顧客情報を発見した時期と同じ頃に、いくつかの注目すべきデータ窃盗事件が発生しています。
夏の初めから、SalesloftのDrift統合を悪用したOAuthトークンの悪用キャンペーンにより、攻撃者は多くの企業のSalesforceインスタンスにアクセスし、顧客データを盗みました。Cloudflareは、この攻撃が「数百」の組織に影響したと報告しています。
さらに、CL0Pと関連する恐喝者による最近のOracle E-Business Suite(EBS)への襲撃は、Googleによれば7月にはすでに始まっていた可能性があり、犯罪者は「数十」の組織を侵害したとされています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/23/toysrus_canada_data_leak/
