- ShinyHuntersが60万件のカナダグース顧客記録をリーク – 個人情報と部分的なペイメント情報を含む
- 同社は侵害を否定し、データセットは過去の取引に由来し、おそらくサードパーティプロセッサーを経由したものと述べている
- 限定的なカード情報でも、カスタマイズされたソーシャルエンジニアリングによるフィッシングと詐欺リスクをもたらす
ハッカーらがラグジュアリー衣料品ブランドであるカナダグースの数十万件の顧客記録をリークしたが、同社は侵害されていないと主張している。
悪名高いランサムウェアオペレーターのShinyHuntersは最近、カナダグースをデータリークサイトに追加し、60万件以上の顧客記録を盗んだと主張している。
BleepingComputerにより審査されたサンプルには、人々の名前、メールアドレス、電話番号、請求先と配送先住所、IPアドレス、注文履歴を含む「詳細な電子商取引注文記録」が含まれていた。
サードパーティの侵害
データには、カード種別、末尾4桁、場合によっては最初の6桁および支払い認可メタデータを含む部分的なペイメントカード情報も含まれていた。
一方、小売業者はデータセットは過去の顧客取引からのものであり、侵害ではないと述べた:
「カナダグースは、過去の顧客取引に関連する履歴データセットが最近オンラインで公開されたことを認識しており、現在のところ、当社システムの侵害の兆候はありません。現在、新たにリリースされたデータセットを確認し、その正確性と範囲を評価しており、必要に応じてさらなる対策を講じる予定です。明確にするため、当社の確認によれば、マスクされていない財務データが関係していた証拠はありません。カナダグースは顧客情報の保護に引き続きコミットしています。」
ただし、ShinyHuntersがBleepingComputerに対して、データは2025年8月のサードパーティ決済プロセッサーの侵害に由来したものであり、この媒体ではデータセットのスキーマが電子商取引チェックアウトエクスポートと「密接に類似している」と述べているため、これらの主張に真実があるかもしれない。
当然のことながら、侵害されたエンティティの名前は共有されていない。
完全な支払い情報がリークされていないことは確かに朗報だが、ハッカーは限定的なデータでも多くの損害を引き起こすことができる。このタイプの情報は、高度にカスタマイズされたフィッシング攻撃に使用される可能性があり、アカウントの侵害や送金詐欺につながる可能性もある。
