- DoorDashはソーシャルエンジニアリングによるユーザー連絡先データの漏洩被害を受けた
- 被害者には顧客、加盟店、従業員が含まれ、社会保障番号(SSN)が漏洩した可能性も
- クレジット監視サービスの提供はなし;漏洩後もフィッシングリスクが高いまま
人気のフードデリバリープラットフォームDoorDashは、非公開のユーザー数に関する機密データを失うサイバー攻撃の被害に遭いました。
同社は影響を受けた個人に対し、データ漏洩通知メールの送信を開始しており、侵入を2025年10月25日に発見したと述べています。
DoorDashによると、攻撃者は氏名、電話番号、メールアドレス、郵便住所を盗みましたが、やや奇妙なコメントとして「機密情報へのアクセスはなかった」とも述べています。
顧客、加盟店、従業員が被害
この漏洩は、従業員の一人がソーシャルエンジニアリング詐欺に引っかかり、攻撃者にプラットフォームへのアクセス権を与えたことが原因で発生しました。
漏洩による影響者数は正確には不明ですが、DoorDashは顧客、加盟店、従業員が関与していると述べています。
通知は主にカナダのユーザーに送信されたようですが、DoorDashのサイトにある日付のないセキュリティ勧告で米国の社会保障番号(SSN)が言及されていることから、米国市民も影響を受けたと考えられます。
「当社はすでに本件への対応として、セキュリティシステムの強化、従業員への追加トレーニング、サイバーセキュリティのフォレンジック専門会社の導入による調査支援、法執行機関への通報などの措置を講じています」と通知には記載されています。
被害者への個人情報盗難やクレジット監視サービスの提供については一切言及されていませんが、これは通常このような状況で行われる対応です。
たとえサービスが提供されたとしても、顧客や利用者はDoorDashを名乗るメールやその他の連絡に引き続き注意する必要があります。サイバー犯罪者が盗まれたデータを使って、被害者にマルウェアをインストールさせたり、SNSアカウントや銀行プラットフォーム、求人アプリへのアクセスを許可させたりする可能性があります。
