オレゴン動物園は、117,815人の顧客の決済カード情報がサイバー犯罪者によって漏えいした可能性があると警告した。
8月16日付の顧客向け通知で同園は、オンラインでのチケット購入を処理していたサードパーティベンダーから、権限のない人物が顧客の取引を別の場所へ転送していたことを明らかにした。
これにより攻撃者は、2023年12月20日から2024年6月26日までの期間にサイト上の取引で使用された決済カード情報を取得できた可能性がある。
今すぐ読む:American Express、サードパーティ侵害でクレジットカードデータが露出したと警告
漏えいした可能性のある顧客の決済情報には、氏名、決済カード番号、CVV、有効期限が含まれる。
社会保障番号(Social Security number)はこの攻撃の影響を受けていない。
オレゴン動物園は6月26日、オンラインチケットサービスで不審な活動を初めて把握し、サイトを停止して調査を開始した。
連邦法執行機関には本件が通知されており、関係する州の規制当局にも書面で通知が提供されている。
動物園の顧客は詐欺の高リスクに
オレゴン動物園は、影響を受けた可能性のある顧客に対し、口座明細を継続的に確認し、無料の信用情報レポートを監視して、なりすまし(ID盗用)や詐欺の可能性がある事案を特定するよう促した。
不審な請求があれば、決済カードを発行した銀行に報告し、連邦取引委員会(FTC)、州司法長官、法執行機関にも連絡して、なりすまし(ID盗用)や詐欺の未遂または実際の被害を報告すべきだとしている。
同園は、これらの顧客に対し、1年間無料でクレジット監視サービスを提供している。
今すぐ読む:新PCI SSC責任者が、標準アップグレードの中で進化する決済セキュリティを概説
本件について、Synopsys Software Integrity Groupのフェローであるレイ・ケリー氏は、支払いの転送が侵害の検知まで6か月間も見過ごされていたのは「憂慮すべき」だと述べた。
「あなたのウェブサイトが支払いを受け付けたり、何らかのユーザーデータを収集したりしているなら、端的に言って、あなたは潜在的な標的です。こうした脅威に対抗し、ユーザーを守るためには、強固で能動的なサイバーセキュリティ態勢を維持することが、あらゆる企業にとって極めて重要です」とケリー氏は指摘した。
オレゴン動物園は、将来同様の事案が発生する可能性を低減するため、既存のセキュリティ方針および手順を見直していると付け加えた。同組織は、従来のオンラインチケット販売サイトを廃止し、オンラインでのチケット購入のために新たな安全なサイトを再構築した。
画像クレジット:ARTYOORAN / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/oregon-zoo-payment-card-compromise/
