オランダの化粧品チェーンRitualsは、ロイヤルティプログラム「MyRituals」の会員の個人情報が流出したセキュリティ侵害を認めた。漏洩した情報には、氏名、住所、電話番号、メールアドレス、生年月日、性別が含まれる。同社はパスワードと支払いデータは安全であるとしているが、4100万人のユーザーの中で正確な被害者数は明らかにしていない。
攻撃は完全に暗号化されていないロイヤルティデータベースを直撃 🔓
Ritualsの情報漏洩は、会員プロフィールを保存するサーバーへの不正アクセスが原因とみられる。同社はパスワードはハッシュ化されており、支払い情報は侵害されていないと主張しているが、住所や生年月日などのデータが流出したことは、暗号化が個人情報のすべてをカバーしていなかったことを示唆している。この種のインシデントは、APIの脆弱性や機密データのセグメント化の欠如によって発生することが多く、ユーザーを標的型フィッシングキャンペーンにさらすことになる。
少なくとも、ギフトのポーチは盗まれなかった 😅
Ritualsはパスワードと支払いデータは安全であると保証しているが、これは安心材料だ。なぜなら、正直なところ、生年月日や性別を知られることよりも、あなたがまだ20代の頃と同じパスワードを使っていることがバレる方が最悪だからだ。あとは、ハッカーがあなたよりも先にロイヤルティポイントを香りのキャンドルと交換し始めるのを待つだけだ。