フードデリバリーサービスのDoorDashは、2025年10月に発生したデータ侵害により、一部の顧客の個人情報がアクセスされたことを認めました。
ソーシャルメディア上で共有された顧客向けメールの中で、同社はこのインシデントを認め、氏名、電話番号、住所、メールアドレスなどの情報が影響を受けたと述べました。
同社のウェブサイトに掲載されたサイバーセキュリティインシデントへの対応に関する声明では、現時点で、これらのデータが不正利用やなりすまし(アイデンティティ盗難)に悪用された形跡はないとしています。
DoorDashは、従業員がソーシャルエンジニアリング詐欺の標的となったことが、この侵害につながったと説明しました。
「対応チームはこのインシデントを特定し、不正な第三者のアクセスを遮断し、調査を開始するとともに、本件を法執行機関に通報しました」と同社は述べています。
同社はまた、社会保障番号(Social Security number)やその他の政府発行の身分証番号、運転免許証情報、銀行口座情報やクレジットカード/デビットカード情報などの機微情報にはアクセスされていないと付け加えました。
このデータ侵害を受けて、同社は同様の悪意ある行為を防止・検知するため、自社のセキュリティシステムに新たな強化策を導入したと述べています。
ソーシャルエンジニアリング詐欺に関する従業員向けの追加の啓発トレーニングも実施されました。
同社は調査を支援し、専門的なサポートを提供するため、外部の企業を起用しました。この件は法執行機関にも通報されています。
WoltおよびDeliverooの顧客は、今回のデータ侵害の影響を受けていません。これら2社はDoorDash傘下で事業を展開しています。
これは過去6年間で3度目のDoorDashの情報侵害であり、2019年に500万人のユーザーに影響を与えたインシデントと、2022年のサードパーティベンダーの侵害に続くものです。
「日々数百万件の取引を処理し、数億人のユーザーの詳細な配達記録を保持するプラットフォームにとって、このようなパターンは、セキュリティの抜本的な見直しを必要としていることを示しています」と、Securinの最高製品・技術責任者(CPTO)であるKiran Chinnagangannagari氏はコメントしています。
画像クレジット: T. Schneider / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/doordash-confirms-data-breach/
