- Pax8の従業員が誤ってスプレッドシートをメール送信し、約1,800社の顧客データが露出
- ファイルには組織名、SKU、ライセンス、更新日を含む56,000件のエントリが含まれていた
- Pax8は削除を要請;犯罪者が漏えいリストの購入を試みたと報じられる
マネージドサービスプロバイダー(MSP)向けのクラウドコマース・マーケットプレイスであるPax8は、従業員が誤って添付ファイル付きのメールを送信したことで、約1,800社の顧客に関する機密データを意図せず露出させたと述べた。
同社は、影響を受けた企業に対してこの不手際を通知するフォローアップメールで、このニュースを確認した。
「本日(2026年1月13日)早く、Pax8の従業員が添付のスプレッドシート付きメールを、英国拠点のパートナー40社未満に誤って送信しました」とメールには記されている。「添付ファイルには個人を特定できる情報は含まれていませんでした。しかし、このファイルには、貴社のPax8の価格設定および一部のMicrosoftプログラム管理を反映した、限定的な社内業務情報が含まれていました。」
数百万ドル規模の損害
「節約のためのBusiness Premiumアップグレードの可能性のある戦術」と題されたこのメールには、主に英国の企業、そしてカナダに所在する1社に影響する社内価格およびMicrosoftプログラム情報が含まれていた。
数名の受信者に連絡を取った後、BleepingComputerは、添付されていたCSVファイルに、顧客組織名、MicrosoftのSKU、ライセンス数、そしてNew Commerce Experience(NCE)の更新日が含まれていたことを知った。
同誌はさらに、この文書には56,000件を超えるエントリがあり、次の項目が含まれていたと突き止めた。
パートナー名とID
顧客名とID
ベンダー名と製品名
総額および純予約
通貨 合計数量
地域
アカウント担当者
プロビジョニング日
キャンセル計上日
郵便番号
取引種別
契約期間終了日
Pax8は、この漏えいはマーケットプレイスの可用性やセキュリティ制御には影響しないと述べ、すべての受信者に連絡してメールの削除と、これ以上の配布をしないよう要請したと付け加えた。
また、サイバー犯罪者が受信者にも接触し、リストの購入を試みているとも報じられている。現時点では情報はダークウェブに流出していないため、まだ誰も売っていないと考えるのが妥当だろう。
Pax8は現在、世界で47,000社を超えるパートナーを抱え、18か国で事業を展開している。
