2019/09/27

DoorDash に対するサプライチェーン攻撃

Mega Data

2019 年 9 月 27 日 Emil Hozan 著

DoorDash は、人気のフードデリバリサービスであり、実際にとても便利だと私も思います。ところが、永遠に続きそうなサイバー攻撃のトレンドの中で、DoorDash もサプライチェーン攻撃の被害者になってしまいました。DoorDash が9 月上旬に、サードパーティのサービス経由の不審なアクティビティを発見しました。同社は直ちに調査を開始し、外部機関にも意見を求めました。

一安心と言えるのは、同社のサービスの利用者の中でも、この影響の影響を受けたのが 2018 年 4 月 5 日以前に登録した利用者だけであり、それ以降に登録した利用者は影響を受けていなかったことでしょう。影響を受けたアカウント情報の合計は、490万件に上り、これには、ユーザやDasher(DoorDash の委託を受けたデリバリ担当者))だけでなく、加盟店も含まれます。

利用者のデータには、名前、メールアドレス、住所、注文履歴、電話番号、そして、ハッシュされ、ソルトを付与されてハッシュされたパスワードが含まれていました。クレジットカードの下4桁を盗まれた利用者もいましたが、DoorDash は、「クレジットカードの全情報が盗まれたわけではなく、カード番号全体やCVV コードなどの情報にアクセスされてしまったわけではない。今回アクセスされた情報だけでは、カードの不正請求は不可能である」と説明しています。

Dasher や加盟店の銀行口座の下4桁も流出しましたが、不正請求できないという点は同じです。約10万人の Dasher の運転免許番号もアクセスされてしまいました。

DoorDash は、影響を受けた関係者に連絡し、セキュリティを強化し、将来的に同様の事故が発生しないようにするための対策を進めてます。ソルトが付与されてハッシュされたパスワードが流出したことから、解読の恐れもあるため、万全を期すためにパスワードを変更し、DoorDash 以外で同じパスワードを使用しないよう呼びかけています。私自身も、この対策を強く推奨すると共に、パスワードマネージャを利用し、アカウントごとに一意のパスワードを利用することで、流出したパスワードを他のアカウントで使われないようにすることをお勧めします。