Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

HomeDepotの個人情報漏えい

北米でのホームセンター大手ホームデポ(カナダ)の個人情報漏えい事件です。どうやら顧客の注文情報が、別な顧客に誤送信された様です。

threatpost.com

 

キタきつねの所感

結構深刻なプログラムミスだった様です。Twitter上での一報は、顧客の1人が、10/28に投稿したもので、660通の他の購入客の確認メールが送付されてきたと書かれています。

 

Twitterの投稿から下記スクリーンショットを引用しますが、これだけ大量のメールがくると、フィッシングメールか迷惑メールにしか思えないでしょうね。

f:id:foxcafelate:20201030100917p:plain

 

ホームデポは状況を把握していて、「in-store pick-up」つまり支払いを先にネット上で行って、店舗に取りに行く一部の顧客が影響を受けたと返答しています。

ご連絡をいただきありがとうございます。今朝発生したことを認識しており、この問題は現在修正されていることを確認することができます。 この問題は、店頭でのピックアップ注文をお持ちのごく少数のお客様に影響を与えました。追加のご質問がございましたら、DMにてご連絡ください。

(HomeDepotのTwitter投稿から引用)※機械翻訳

 

余談ですが、「追加のご質問がございましたら、DMにてご連絡下さい」はネット炎上を防ぐ、インシデント対応としては最良の選択だったかも知れません。

実際に、この初報に対する関連投稿はあまりありませんでした。勿論、既に問題点が修正されていると回答した事も大きかったと思いますが。

 

とは言え、影響は決して小さかった訳ではない様です。別な方の投稿では、もっと影響範囲は大きいと書かれています。(※「300人に送られ・・・」をこの方がどうやって知ったのかが謎ですが)

店頭での受け取りだけでなく、少なくとも900人の消費者に影響を与えたとても深刻なデータ侵害です。私のONLINE ORDERは300人に送られ、私は他の43人のONLINE ORDERを受け取った名前、自宅住所、注文情報、クレジットカード情報がすべて共有されていました。

Twitter投稿より引用)※機械翻訳

 

流石にカード情報はマスキングされていると思いますので(※そうでなければPCI DSSの違反となります)、個人情報漏えいのみとなるのだと思いますが、ホームデポ側が既に修正したという事なので、サイバー攻撃ではなく、「更新プログラムのバグ」だった可能性が高いかと思います。

 

漏えいしたデータが何であったのかは不明ですが過去の確認メールには、住所、氏名、商品の詳細と費用、配達の場合は電話番号、注文ステータス確認へのリンクが含まれていたとされます。

※リンクから先はログインが必要となりますし、現時点ではネットサイトへの不正アクセスの情報は出てませんので、こちらは影響が無かったのかと思われます。

 

こうした漏えいした個人情報は、それ自体を使っての直接的な被害はそんなには無いかも知れませんが、既に他の店舗やサービスで漏えいしている個人情報とマージされ、DarkWeb等で販売されると、別な事件で(詐欺やパスワードリスト攻撃等)悪用されてしまう事も十分に考えられます。

 

もし仮に、今回の事件が更新プログラムのミスだったとした場合、本番リリース前にテストすれば、恐らく気づけたミスだと推測されます。きちんとテストしてから修正プログラムをリリースする、単純な、そしてごく当たり前な事ですが、他社にもよい気づきになるかと思います。

 

ホームデポは、2014年(Targetの後)に米国とカナダの店舗POSから約5600万枚のカード情報漏えい事件を起こしています。そうした中で、2回目の情報漏えい事件に対する顧客の目は厳しくなるのが一般的です。顧客にとってはネット注文(支払い)→店頭受け取りは、コロナ禍での店員や他の客との接触を軽減する効果もあり、良い点も多いのですが、肝心のセキュリティが疎かにならない様にすべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

ホームセンターのイラスト

 

更新履歴

  • 2020年10月30日 AM