概要

スターバックスは、社内プラットフォームである「Starbucks Partner Central」のアカウントが標的となり、889人の個人情報と財務情報が漏洩したと発表しました。このプラットフォームは、人材管理、従業員福利厚生、給与情報などを管理するために使用されています。

漏洩の詳細

スターバックスは、2026年3月10日にオレゴン州司法長官事務所にデータ漏洩通知を提出しました。この漏洩は、1月19日から2月11日までの約3週間にわたって発生しました。

攻撃の経緯

攻撃者は、従業員のログイン情報を盗むためのフィッシングサイトを用いて、スターバックスのシステムに不正アクセスを試みました。これらのフィッシングサイトは、公式のスターバックスパートナーセンターのウェブサイトを模倣したものでした。

影響と対応

攻撃者は、従業員のフルネーム、生年月日、社会保険番号、銀行口座番号、および直接入金記録に関連する銀行ルーティング番号などの個人情報にアクセスしました。

スターバックスは、攻撃者による不正アクセスを直ちに停止し、連邦法執行機関に通知し、内部セキュリティ制御を強化しました。また、影響を受けた全ての個人に対して、24ヶ月間の無料の身元盗難防止とクレジットモニタリングサービスを提供しています。

過去のサイバーセキュリティの課題

スターバックスは、過去にもサイバーセキュリティの課題に直面しています。2024年11月には、サプライチェーンとスケジューリングソフトウェアプロバイダーであるBlue Yonderに対するランサムウェア攻撃により、店舗管理者が従業員の勤務時間を手動で追跡する必要がありました。

さらに、2022年9月には、シンガポールの支社が、サプライヤーのシステムがハッカーのフォーラムで販売されたことにより、219,000人以上の顧客の個人情報が漏洩しました。

元記事: https://gbhackers.com/starbucks-data-breach-exposes-personal-data/