スターバックスは、今年初めに発生した内部システムインシデント後、数百人の個人情報が流出したデータ漏洩を公表しました。
漏洩は2026年1月19日から2月11日までの数週間にわたって発生しましたが、スターバックスは2026年2月6日に疑わしい活動をより早く発見しました。
問題を検出した後、同社はインシデントの規模と影響を判断するための内部調査を開始しました。
漏洩通知は、ワシントン州シアトルの2401 Utah Ave Sに本社があるスターバックスコーポレーションの北米プライバシー責任者であるアリソン・ソプコによって正式に提出されました。
スターバックスが漏洩の正確な技術的原因を公開しなかった一方で、通知は「その他」の漏洩タイプに分類されており、典型的なランサムウェア攻撃または外部システム侵入ではなかった可能性を示唆しています。
調査により、他の機密個人情報と組み合わせた名前を含む個人識別子にアクセスされたことが判明しました。
提出資料によると、侵害されたデータは、名前またはその他の個人識別子を含む追加の個人情報と組み合わせたものが関係していました。
初期通知では正確なカテゴリが完全に詳細化されていませんが、このような漏洩には通常、以下を含む可能性のある組み合わせが関係します:
セキュリティ専門家は、個人識別子のわずかな組み合わせでも、データが悪用された場合、詐欺的身元盗用、フィッシング攻撃、またはソーシャルエンジニアリング試行のリスクを増加させる可能性があると警告しています。
スターバックスは2026年3月10日に送付された書面通知を通じて影響を受けたユーザーへの通知を開始しました。同社はまた、被害者が自分の情報の潜在的な悪用を監視するのを支援するためのガイダンスも提供しています。
詐欺的身元盗用のリスクを軽減するため、スターバックスは影響を受けた個人にExperian Credit Plus 1Bを通じて24ヶ月間の無料身元保護サービスを提供しています。
通知書を受け取った個人には、できるだけ早くサービスに登録することが推奨されています。
漏洩開示はメイン州司法長官室に提出されました。これは州の住人がデータインシデントの影響を受けた場合の標準的な規制要件です。
メイン州の住人のみ5人が影響を受けましたが、全体的な漏洩の数は複数の地域で889人に達しました。
州の規制当局に漏洩を報告する組織は、通常、透明性とデータ保護規制への準拠を確保するための時間計画、通知計画、および軽減措置を提供します。
スターバックスの漏洩は、大規模組織によって保有される個人データのセキュリティについての継続的な懸念を浮き彫りにしています。
漏洩が比較的少数の個人に影響を与える場合でも、攻撃者は標的化された詐欺キャンペーンのために露出した情報を利用することができます。
サイバーセキュリティ専門家は、影響を受けたユーザーが以下によって警戒を続けることを推奨しています:
スターバックスは、漏洩が顧客支払いカードデータまたはその公開小売システムに関与したことを示唆していません。
しかし、調査は継続して、露出がどのように発生したか、および追加のセーフガードが必要かどうかを完全に判断しています。
翻訳元: https://cyberpress.org/starbucks-data-breach/