英国の衣料品小売業者ファットフェイスは、今年初めに「無許可の第三者」が顧客のデータを保管するシステムにアクセスしたと告げ、その後、この失態のニュースを秘密にしておくよう求めたことで、一部の顧客を激怒させた。
数人がThe Registerに手紙を寄せ、個人データ漏洩について知らせてくれた。読者のテリーさんは「Fatfaceのメールが機密情報としてマークされていることにお気づきでしょう。これは私を苛立たせました」とコメントした。
最高経営責任者のリズ・エバンス氏は、昨日ユーザーに送った「極秘かつ機密 – セキュリティインシデントに関するお知らせ」というタイトルのメールの中で次のように書いている。
当然のことながら、顧客はすぐにソーシャルメディアに飛びつき、「データ漏洩に関する公式声明」はどこで見られるのか、なぜ顧客への通知がこれほど遅れたのか、なぜメールに「機密」と記されているのか、そしてメールが本物なのかなどについて質問しました。そして、すべての質問に対し、同社のソーシャルメディア担当者に「DM」を送るよう指示されました。
また、同社は受信者に「無料のExperian Identity Plusメンバーシップへのアクセスを提供する予定だが、これは単に十分な注意を払うためであり、ユーザーのデータが特に危険にさらされていると判断したからではない」とも述べた。
被害人数の詳細は明らかにされていない。同社は「英国とアイルランドに200店舗」を展開しており、特に沿岸地域では好調だ。海外への配送も提供しているが、ウェブサイトでは現在利用できないとしている。
同社が企業登記所に提出した最新の財務諸表(2020年5月30日までの52週間の全会計報告書[PDF])によると、同グループの収益は2019年の2億3,640万ポンドから1億9,820万ポンドに減少したが、オンライン事業は「過去5年間で倍増した」としている。
ファットフェイスは昨年、負債を減らすために借り換えを実現し、「地元の市場町や休暇目的地の店でステイケーションのトレンドの恩恵を実感した」と述べた。
また、文書の中で同組織は、ファイアウォールを設置しており、「システムのセキュリティを定期的にチェック」しており、2020/21年までに「多要素認証(MFA)」を導入する予定であると述べた。
また、「当社は、一部の古いアプリケーションを最新のクラウドベースのアプリケーションにアップグレードする作業プログラムを開始しており、フェーズ1は完了し、次のフェーズは2021年に予定されています」と述べ、「グループはまた、今後2年間で実施されるコアシステムの交換プロジェクトも開始しました。フェーズ1は承認され、納品が進行中です」と付け加えた。
Fatface社に、このプロジェクトがどの程度進んでいるのかを尋ねました。また、侵害の範囲や、データにアクセスされた可能性のある顧客に口を閉ざすよう要請した理由についても尋ねました。
NCCグループは、CRESTペンテスト認定試験のノートが詰まったフォルダがGitHubに投稿された後、トレーニングデータがオンラインで漏洩したことを認めた。
続きを読む
皮肉なことに、Fatface自身も財務報告文書の中で、「違反が発生した場合に適切な対応を怠ると、金銭的な罰則や評判の失墜につながる可能性がある」と指摘している。
decoded.legalを運営するハイテクに精通した弁護士ニール・ブラウン氏は、次のように語った。「顧客の情報を秘密にできなかったかもしれない組織が、まさにその顧客にファットフェイスの情報を秘密にするよう求めるなんて?皮肉だ。」
「これは私がこれまで見たことのないもので、情報が漏洩した、あるいは漏洩した可能性のある人々にとって、Fatface は魅力的ではないだろう。」
英国のデータ監視機関、情報コミッショナー事務局(ICO)はThe Registerに対し、「人々は、組織が個人情報を安全かつ責任を持って取り扱うことを期待する権利がある」と語った。
「データインシデントが発生した場合、組織は影響を受けた人々に連絡することが適切かどうか、また潜在的な悪影響から彼らを守るために講じられる措置があるかどうかを検討することが期待されます。」
「Fatface から事件について連絡があり、現在調査中です。」®
追加更新
フランスの出版物「LeMagIT」は、FatFaceがContiランサムウェア集団に約800万ドルから交渉で減額された200万ドルの身代金を支払ったと報じている。この集団は1月に小売業者のネットワークに侵入し、200GBのデータを盗み出し、ファイルを暗号化した。
