スターバックスにリスト型攻撃の被害 複数のユーザーアカウントに不正ログイン確認される

10月24日スターバックスコーヒージャパン株式会社が運営する、webサイト「My Starbucks」において、外部からの不正ログインの被害が確認されたとして情報公開されました。

概要と経緯

2019年10月16 日から17日にかけて「My Starbucks会員登録のご案内」とのスターバックスコーヒージャパン社とは無関係の不審なメールが確認されたことが発端とみられております。
情報公開された10月18日時点では、ユーザーの個人情報流出や同社システムになんらかの被害が発生するなどの事実は確認されておりませんでした。

10月24日、「My Starbucks」にリスト型攻撃によるものとみられる被害が確認され、攻撃者が何らかの方法でユーザーのメールアドレスおよびパスワード情報を取得し、My Starbucksページに複数回不正にログインを受けたことが判明しました。

不正ログイン防止のための注意喚起

スターバックスコーヒージャパン社は、不正ログイン防止のためユーザーに対して以下の注意喚起を促しました。

・My Starbucksページのパスワードを変更依頼
・他のインターネットサービスと同じパスワードや簡易で推測されやすいパスワードの使いまわしを控える
・個人情報やクレジットカード情報の再登録
・Starbucksをかたる不審なメールを受信した際は破棄する(スターバックスコーヒージャパン社から、アプリのインストールを求めるURLを記載したメールが送付されることはない)。

スターバックスコーヒージャパン社は、今回の不正ログインにより、10月26日午後11時まで、スターバックスカードへのオンライン入金とオートチャージ機能を停止しておりましたが、10月28日(月)午前7時に同社webシステムのセキュリティ強化が完了したことで、運営再開したとホームページ上で公表されております。
 

【参考URL】
オンライン入金、およびオートチャージ再開のお知らせ
My Starbucksページに不正ログイン、パスワード変更を呼びかけ