スターバックス・コーポレーション(Starbucks Corporation)は最近、889人の個人および財務情報を侵害する標的型サイバーセキュリティ事件を公開しました。
この内部プラットフォームは、人的資源、従業員福利厚生、給与詳細を管理するために会社によって利用されています。
影響を受けたユーザーの数は会社の世界的な従業員の一部に過ぎませんが、流出した雇用データの極めて機密性の高い性質は、影響を受けた職員に深刻な身元盗用リスクをもたらします。
2026年3月10日にメイン州司法長官室に提出されたデータ侵害通知によると、この侵害は特にスターバックス・パートナー・セントラル(Starbucks Partner Central)アカウントをターゲットにしていました。
インシデントタイムラインと攻撃ベクトル
不正アクセスは2026年初頭の3週間のウィンドウで発生しました。
スターバックスの北米プライバシー責任者であるアリソン・ソプコ(Allison Sopko)によって提出された公式開示に基づくと、脅威アクターは2026年1月19日にシステムを初めて侵害しました。
同社のセキュリティチームは2月6日に不正なアクティビティを検出し、2月11日までに攻撃者のネットワークへのアクセスを完全に取り消しました。
スターバックスと外部サイバーセキュリティ専門家によって実施された共同調査により、脅威アクターが認証情報を奪取する手法を使用していたことが明らかになりました。
攻撃者は、正規のスターバックス・パートナー・セントラルポータルになりすまして明確に設計された詐欺的なフィッシングウェブサイトに被害者を誘導することで、従業員のログイン認証情報を正常に取得しました。
侵害されたアカウントは重要な雇用および給与の詳細を管理しているため、流出した情報は基本的な連絡先データをはるかに超えています。
脅威アクターは、従業員のフルネーム、生年月日、社会保障番号を含む極めて機密性の高い個人識別情報への不正アクセスを取得しました。
さらに、攻撃者は給与振込記録に関連する金融口座番号および銀行ルーティング番号を閲覧することができました。
侵害を発見すると、スターバックスはすべての不正なアクセスを直ちに終了し、連邦執行機関に警告し、従業員ポータルの内部セキュリティ制御を強化しました。
同社はまた、影響を受けたすべての個人に対して、Experian Credit Plus 1B経由で24ヶ月間の無料の身元盗用保護およびクレジット監視サービスを提供しています。
この認証情報奪取事件は、グローバルコーヒーハウスチェーンの一連の注目すべきサイバーセキュリティ課題に続くものです。
2024年11月、スターバックスはサードパーティのサプライチェーンおよびスケジューリングソフトウェアプロバイダーであるBlue Yonderへのランサムウェア攻撃により、深刻な業務中断に見舞われました。
そのインシデントは、店舗マネージャーに従業員の時間を手動で追跡するよう強制し、バリスタの報酬に不可欠なバックエンドプロセスを中断しました。
さらに、2022年9月、同社のシンガポール部門は、ベンダーのシステムが侵害され、ハッカーフォーラムで販売された後、219,000人を超える顧客の個人詳細を露出させた重大な侵害を経験しました。
翻訳元: https://gbhackers.com/starbucks-data-breach-exposes-personal-data/
