米ニューヨーク州は、コンピューターセキュリティの違法な欠陥があったとして、食品チェーンのダンキンドーナツを訴えている。
ニューヨーク州司法長官レティシア・ジェームズ氏は本日、この訴えは2015年にダンキンドーナツのウェブサイトが襲撃されたことに端を発するものであると述べた。詐欺師らは個々の顧客アカウントに侵入し、侵入されたダンキンドーナツのプロフィールから被害者の店舗ロイヤルティカード情報を盗み、その機密情報をオンラインで販売したという。
ダンキンドーナツは盗難を隠蔽する一方で、最大2万件の顧客情報がデータ取引のダークネット市場で売りに出されていたとされている。アカウント乗っ取りについては誰にも知らされておらず、捜査も行われなかったと伝えられている。
「ダンキンは、不正アクセスを通知したり、さらなる不正アクセスを防ぐためにアカウントのパスワードをリセットしたり、DDカードを凍結したりすることで、約2万人の顧客、あるいはおそらくは顧客が知らなかった数千人以上の顧客を保護するための措置を一切講じなかった」と州司法長官事務所は訴訟について述べた。
「ダンキンドーナツはまた、さらに何件の顧客アカウントが侵害されたのか、どのような顧客情報が取得されたのか、顧客の資金が盗まれたのかどうかを特定するための攻撃に関する調査や分析を一切実施しなかった。」
ジェームズ氏によれば、犯罪者は人々のパスワードを推測するだけで、これらの顧客アカウントに総当たり攻撃で侵入したという。
タイム・ワーナー・ケーブル、あなた方は「悲惨な評判を獲得した」 - ニューヨーク州司法長官
続きを読む
司法長官は、DD 社は窃盗を認識していたにもかかわらず、賭博客の口座が不正使用されたことを通知しなかったと主張している。
「ダンキンは顧客のセキュリティを守ることができなかった」とジェームズ氏は述べた。「そして、これらのサイバーセキュリティ侵害の影響を受けた数万人に通知する代わりに、ダンキンは傍観し、顧客を危険にさらしたのだ。」
司法長官は現在、ドーナツチェーンに対し、窃盗犯に奪われた金銭の一部を取り戻すべく訴訟を起こしており、このチェーンは、州データ漏洩通知法と、企業に顧客アカウントを保護するために講じた対策の正確な開示を義務付ける消費者保護法に違反していると主張している。
この訴訟は、砂糖販売業者に対する差し止め命令、顧客への賠償金、そして州法違反に対する罰金を求めている。ダンキンドーナツは本稿の印刷時点でコメントを控えている。®
