フォルクスワーゲン・アメリカは、マーケティングのために利用していたサードパーティベンダーでのデータ侵害により同社の顧客330万人以上の個人情報が流出したと発表しました。そのほとんどがアウディ車の所有者としています。
フォルクスワーゲンは、2019年8月から2021年5月の間に侵害が発生したと司法長官に宛てた書簡の中で述べており、TechCrunchの記者Zack Whittakerが最初に発見しました。
同社の報告書によると、フォルクスワーゲンとその子会社であるアウディ、米国とカナダの正規ディーラーが使用しているサードパーティベンダーが、2019年8月から2021年5月までの2年間にわたり、2014年から2019年にわたる顧客データを保護しないまま放置していたと述べています。
フォルクスワーゲンは、2021年3月10日にこの漏洩の事実を知りましたが、サードパーティベンダーがサーバーを保護するまでにさらに2ヶ月を要しました。
この事件は、すべてのフォルクスワーゲン顧客に影響があったわけではなく、機密情報が流出した人もいれば流出したサーバーにあまり個人的でない情報が保存されていた人もいるとしており、情報漏洩の範囲を説明しています。
流出した情報の97%以上の顧客については、アウディの顧客および購入を検討している人に関する連絡先および車両情報のみで構成されており、連絡先情報には、姓名・個人・企業の郵送先住所、電子メールアドレス、電話番号が含まれています。
場合によっては、データには、車両識別番号(VIN)、メーカー、モデル、年式、色、トリムパッケージなど、購入、リース、問い合わせした車両に関する情報も含まれています。
また、約9万人のアウディユーザや購入を検討されている人のデータには、購入・ローン・リースの資格に関するより機密性の高い情報も含まれており、機密性の高いデータのほぼすべて(95%以上)が運転免許証の番号が記載されています。少数の記録には、生年月日・社会保障番号・ソーシャル・インシュアランス・ナンバー、口座番号またはローン番号、納税者番号などのデータも含まれているとしています。
今回流出したデータは、2014年から2019年にかけて米国およびカナダの顧客から集められたものとのことです。
データが保護される前に権限のない者によってダウンロードされた可能性があるのか、また、サードパーティベンダーがサーバーの保護に2カ月を要した理由は現在のところ不明です。
運転免許証番号に関わるセキュリティ事件としては、ここ数カ月で最も新しいものであり、今年に入ってからは保険大手のMetromile社とGeico社は運転免許証番号を取得しようとする詐欺グループによって見積書フォームが悪用されたことを発表しており、他の自動車保険会社も、運転免許証番号の盗難に関する同様の事件を報告しています。
Geico社は、詐欺グループが他人の名前で不正な失業手当を申請して現金化しようとしたのではないかと述べています。
多くのユーザーはオンライン詐欺行為にあう可能性がありますが、高額なアウディ車のオーナーは流出したデータが悪用された場合、自動車窃盗団に狙われるリスクにも直面しているのではと予想されています。
Comments