Stiiizy header

人気の大麻ブランドSTIIIZYは今週、ハッカーが同社のPOSベンダーに侵入し、政府のIDや購入情報を含む顧客情報を盗んだとして、データ侵害を公表した。

STIIIZYはカリフォルニアを拠点とする大麻ブランドで、ポッドベースのヴェポライザーと、フラワー、エディブル、THC濃縮物、抽出物を含む様々な大麻製品で知られている。

今週初めに発表されたデータ漏洩の通知で、STIIIZYはPOSベンダーから通知を受けた11月20日に初めてデータ漏洩に見舞われたと述べている。

「STIIIZYのサイトに掲載されたデータ流出通知には、「2024年11月20日、いくつかの小売店舗でPOS処理サービスを提供しているベンダーから、彼らの組織のアカウントが組織的なサイバー犯罪グループによって侵害されたとの通知を受けました。

“ベンダーが実施した調査の結果、ベンダーが処理したSTIIIZYの特定の顧客に関する個人情報が、2024年10月10日~2024年11月10日頃に脅威者によって取得されたことが判明しました。”

この侵害の一環として、脅威行為者は運転免許証情報、パスポート番号、写真、取引履歴を含む幅広い機密顧客情報を盗み出しました。

「この事件は、運転免許証や医療用大麻カードを含む政府発行の身分証明書に含まれる情報、および当社の薬局との取引に関連する情報に影響を与えました」と同社は警告している。

「漏洩した情報には、氏名、住所、生年月日、年齢、運転免許証番号、パスポート番号、写真、政府発行のIDカードに記載された署名、医療用大麻カード、取引履歴、その他の個人情報が含まれます。影響を受けた各個人について、これらの情報のすべてが影響を受けたわけではありません」。

STIIIZYの調査によると、今回の情報漏洩は以下の店舗で購入した顧客のみに影響を与えたという:

  • STIIIZY Union Square:180オファレル・ストリート、サンフランシスコ、カリフォルニア州
  • STIIIZY Mission: 3326 Mission Street, San Francisco, CA
  • STIIIZY Alameda:1528 Webster St.
  • STIIIZY モデストカリフォルニア州モデスト、McHenry Ave.

同社によると、顧客データを保護するために追加のセキュリティ対策を実施し、影響を受けた人々には無料の信用監視サービスを提供するとのこと。

盗まれたデータは機密性の高いものであるため、影響を受けた顧客は、自分の名前で開設された詐欺口座がないかクレジット履歴を監視し、標的型フィッシング攻撃に注意するよう勧告されている。

STIIIZYは、データを盗んだ業者とその方法についての詳細は明らかにしていないが、11月に「Everest」として知られるランサムウェア集団が同社に侵入し、422,075人の顧客の個人データとIDを盗んだと主張している。

STIIIZYでは、この情報流出についてさらに質問し、返答があればこの記事を更新する予定である。

エベレスト型ランサムウェアによる攻撃

STIIIZY post on the Everest data leak site
エベレストのデータ流出サイト
ソースは STIIIZYの投稿

エベレスト一味はまた、運転免許証、顧客プロファイル、医療大麻カード、顧客プロファイル、会社文書のスキャンを含む、盗まれたとされるデータのスクリーンショットを共有した。

Everestランサムウェアの活動は2020年に開始され、悪意のある活動の興味深い経過をたどってきた。

開始当初は、主に企業ネットワークに侵入してデータを盗み、データ漏えいサイトで被害者を恐喝していた。

そのうちに、脅威行為者はランサムウェアを攻撃に導入し、データを盗むだけでなく、二重の恐喝攻撃で企業のファイルを暗号化するようになりました。

脅威行為者はまた、初期アクセス・ブローカーとして行動し、企業ネットワークへのアクセスを他の脅威行為者に売り、独自の攻撃を行うことでも知られている。

8月、米国保健福祉省は、エベレスト・ランサムウェアの一団がますます医療業界を標的にしていると警告した。