アメリカのアパレル小売業者 Hot Topic は、2 月 7 日から 6 月 21 日にかけて機密情報がハッカーにさらされた複数のサイバー攻撃について顧客に通知しました。
Hot Topic は、カウンターカルチャーの衣料品やアクセサリー、ライセンス音楽を専門とする小売チェーンで、全米に 675 店舗を展開しています。SimilarWeb のデータによると、オンライン ショップも運営しており、毎月 1,000 万人近くが訪問します。
同社は本日のデータ侵害通知の中で、ハッカーが盗んだアカウント認証情報を使用してリワードプラットフォームに複数回アクセスし、顧客データも盗んだ可能性があると説明した。
「最近、特定の Hot Topic Rewards アカウントに対する不審なログイン アクティビティを特定しました」と通知には記載されています。
「慎重な調査の結果、2023年2月7日、3月11日、5月19日から21日、5月27日から28日、6月18日から21日にかけて、不正な当事者が取得した有効なアカウント資格情報を使用して、当社のWebサイトとモバイルアプリケーションに対して自動攻撃を開始したことが判明しました」未知の第三者情報源からのものです。」
同社は、調査の結果、Hot Topic が資格情報の情報源ではないことが判明したが、情報源も特定できなかったと述べている。
攻撃後に実施されたセキュリティ対策の一環として、ホットトピックは「当社のWebサイトとモバイルアプリケーションをクレデンシャルスタッフィング攻撃から守るための具体的な手順」を追加した。
「クレデンシャル スタッフィング」は、複数のオンライン サービスで同じ認証情報を使用するユーザーに依存するサイバー攻撃の一種です。漏洩やデータ侵害が発生すると、攻撃者は通常、ログインが成功することを期待して、さまざまなオンライン サービスでユーザー名とパスワードのペアをテストします。
Hot Topicは、不正なログインと正規のログインを区別できなかったと述べた。その結果、サイバー攻撃中にアカウントにアクセスされたすべての顧客に通知されます。
ハッカーに公開された可能性のある情報には次のものが含まれます。
- フルネーム
- 電子メールアドレス
- 注文履歴
- 電話番号
- 生年月日
- お届け先の住所
- 保存された支払いカードの下 4 桁
同社は、上記の情報への悪意のあるアクセスや流出はまだ確認されていないことを明らかにしたが、細心の注意を払って侵害された可能性のあるアカウント所有者に通知している。
また、Hot Topic は影響を受ける顧客に、アカウントのパスワードをリセットする手順を記載した電子メールを送信し、強力で固有のパスワードを選択するようアドバイスしています。
Hot Topic の顧客の場合は、同じ認証情報を使用している可能性がある他のプラットフォームでアカウントの認証情報をリセットすることが賢明です。
Comments