Krispy Kremeは、2024年11月のデータセキュリティインシデントの結果として、16万人以上の人々の機密データが侵害されたことを明らかにしました。
影響を受けたデータには、詐欺の危険にさらされる可能性のある非常に機密性の高い金融情報が含まれています。これには以下が含まれます:
- 金融口座情報
- 金融口座アクセス情報
- セキュリティコードと組み合わせたクレジットカードまたはデビットカード情報
- 金融口座のユーザー名とパスワード
不正なアクセスを受けた者によって、さまざまな個人情報もアクセスされました。これには医療または健康情報および健康保険の詳細が含まれます。
その他の侵害されたデータには、名前、社会保障番号、生年月日、運転免許証または州ID番号、パスポート番号、デジタル署名、ユーザー名とパスワード、メールアドレスとパスワード、生体認証データ、USCISまたは外国人登録番号、および米軍ID番号が含まれます。
アクセスされた情報の種類は個人によって異なります。
Krispy Kremeは、インシデントでデータが影響を受けた個人に通知しています。
「通知を受け取る大多数は、影響を受けたKrispy Kremeの従業員、元従業員およびその家族のメンバーです」と会社は声明で述べています。
顧客データが影響を受けたかどうかは不明です。
影響を受けた個人には、無料のクレジットモニタリングおよび身元保護サービスが提供され、通知書に登録情報が記載されています。
米国を拠点とするドーナツメーカーおよびコーヒーチェーンは、現在のところ情報が悪用された証拠はないと述べています。
しかし、すべての通知受取人には、身元盗難や詐欺の可能性に備えて警戒を続けるよう促されており、金融口座、明細書、クレジットレポート、その他の金融情報を定期的に監視して、異常な活動の証拠を確認することが推奨されています。
「Krispy Kremeは、インシデント後にシステムを保護するための適切な措置を講じ、委託されたデータのプライバシーをさらに保護するためにシステムのセキュリティを強化し続けています」と会社は付け加えました。
2025年6月16日付けのメイン州司法長官事務所へのデータ侵害通知では、影響を受けた個人の総数は161,676人とされています。
インシデントがKrispy Kremeに1100万ドルの収益損失をもたらす
Krispy Kremeは、2024年12月にインシデントを公に開示し、オンライン注文を含む業務に支障をきたしたと述べました。
小売業者は、デジタル販売からの収益損失、アドバイザリー費用、復旧費用を含むインシデント関連の予想コストが、会社の財務状況に影響を与える可能性があると認めました。
同社の年次報告書は、2025年2月に発表され、インシデントによる収益損失が1100万ドルと推定されました。
Krispy Kremeは、インシデントに関連する2025年度のさらなるコストを、継続的な運用の非効率性やサイバーセキュリティ専門家や他のアドバイザーへの費用を含めて予想しています。
同社のインシデント調査は、2025年5月22日に個人情報が影響を受けたと判断しました。
攻撃はPlayランサムウェアによるものと報告されていますが、Krispy Kremeはインシデントがランサムウェアに関連しているかどうかについては何も示していません。
画像クレジット: 4kclips / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/krispy-kreme-data-breach-financial/