テキサス州に拠点を置き、米国全土でHandi PlusおよびHandi Stopブランドのもと150以上のガソリンスタンドとコンビニエンスストアを運営するGulshan Management Services, Inc.は、37万7,000人超に紐づく個人情報が露出した大規模なデータ侵害を確認した。
この事件は、同州の住民が影響を受けた場合に必要となるメイン州司法長官への提出書類によって明らかになった。開示によると、攻撃者は2025年9月17日から9月27日の間に外部システムへ不正アクセスした。侵害は9月27日に発見されており、特定されるまで数日間見過ごされていたことを示唆している。
メイン州への提出書類では、氏名またはその他の個人識別情報が露出したとされ、これだけでもなりすまし被害のリスクが高まる。しかし、テキサス州司法長官に提出された別の報告書では、より多くの情報が示されており、侵害には次のデータが含まれていた可能性があることが示唆されている。
- 住所
- 個人の氏名
- 社会保障番号
- 運転免許証番号
- パスポートや州発行IDカードなどの政府発行ID番号
- 銀行口座番号やクレジットカード/デビットカード番号を含む金融情報
さらに悪いことに、消費者への通知が行われたのは2026年1月5日で、侵害期間の終了から3か月以上も後だった。提出書類によれば、Gulshan Management Services, Inc.は影響を受けた個人に書面で通知を送付したが、公表された情報からは、クレジット監視や身元保護が提供されたかどうかは明確ではない。
訴訟
ClassActionによると、同社は現在、機微なデータを保護するための合理的な措置を講じなかったこと、そして影響を受けた人々への通知が遅すぎたことを理由に、複数の集団訴訟および調査に直面している。
Gulshanは複数の州にまたがって約150のガソリンスタンドとコンビニエンスストアを運営しており、従業員記録、ベンダーのシステム、消費者向けデータと日常的に接している。この種のインフラは、運用が相互接続されたシステムに依存し、しかも限られたセキュリティ監督のもとで管理されていることが多いため、攻撃者にとって一般的な標的となる。
通知書を受け取った場合は、カードや銀行取引の動きを注意深く確認し、不審な取引をブロックするよう銀行に連絡し、当局を装ってさらに情報を盗もうとするハッカーからの予期しない電話やメールにも警戒してほしい。
翻訳元: https://hackread.com/data-breach-us-gas-stations-company/
