以前はスクエアとして知られていたデジタル決済大手のブロックは、顧客の個人情報を保護するための適切な措置を講じなかったとの疑惑に直面している。
カリフォルニア州オークランドの連邦地方裁判所に火曜日に提起された訴訟[PDF]は、ブロック社の子会社であるキャッシュ・アップ・インベスティングが運営するキャッシュ・アップのユーザー2名を代表して提起されたもので、同社が適切なセキュリティ対策を講じていなかったと主張している。その結果、元従業員1名が退職後に個人情報を含む社内報告書をダウンロードすることができた。
偶然にも、ブロック・ヘッドのジャック・ドーシーが共同設立した別のベンチャー企業であるツイッターは、最近の内部告発で元セキュリティ責任者からセキュリティが不十分であると非難された。
ブロック社は2022年4月4日に2021年12月10日のデータ盗難を公表し、プライバシー問題に関して既存および元顧客820万人に連絡を取っていると述べた。同社は「元従業員が子会社のCash App Investing LLCの特定のレポートをダウンロードした…そこには米国の顧客情報が含まれていた」と述べている。
当該従業員は在職中、これらのレポートにアクセスできましたが、今回のケースでは退職後にファイルをダウンロードしました。取得されたデータには、顧客の氏名と証券口座番号、そして場合によっては証券ポートフォリオの価値、証券ポートフォリオの保有状況、および/または1取引日の株式取引活動が含まれていました。
訴訟当事者の立場からすると、ブロック社はセキュリティ義務を果たさず、顧客にタイムリーに通知せず、事件に関する情報をほとんど提供せず、信用調査や身元監視サービスを提供しなかったということになる。
ツイッター創業者ドーシー、取締役会の軽率なリツイートに勝利
5月から
「今回の侵害は、(ブロック社が)収集・保管した個人情報を保護するための適切な措置を講じなかったために発生した」と、米国で集団訴訟として認められることを目指している訴状には記されている。「とりわけ、(ブロック社は)元従業員への情報漏洩を防ぐためのデータセキュリティ対策を実施していなかった」
原告のミシェル・サリナス氏とレイメル・ワシントン氏は、12月のプライバシー侵害を受けて、Cash Appアカウントへの不正な請求に気づき、被害の回復に多くの時間を費やしたと訴状は主張している。両氏は損害賠償およびその他の処罰を求めている。
これらの不要な請求が、Blockのセキュリティ問題によって得られたデータを使用して行われたという証拠は提示されていません。また、Blockは開示通知の中で、ダウンロードされたレポートには「ユーザー名やパスワード」などの機密性の高い個人情報は含まれていないと明確に述べています。同時に、最近の報告では、Cash Appアカウントが、アカウント情報を売買する詐欺サイトから入手した情報を利用したハッカーの積極的な標的となっていると主張されています。
レジスター紙はブロック氏にコメントを求め、報道されているキャッシュ・アプリのサイバー強盗が同社の2021年12月のデータ侵害に関連している可能性があると信じる理由があるかどうか尋ねた。
今のところ、Block.® からは何も連絡がありません。
