米連邦大陪審が100以上のマーチャントのShopify(ショッピファイ)顧客データを盗んだ容疑で、カリフォルニア在住の人物を起訴したことが明らかになった。
起訴状によると、Tassilo Heinrich(タシロ・ハインリッヒ)容疑者は、Shopifyのカスタマーサポートエージェント2人と協力して「それらのマーチャントからビジネスを奪い」競争力を高めるためにShopifyの顧客からマーチャントおよび顧客データを盗んだとされ、加重個人情報窃盗および電信詐欺の共同謀議で起訴されている。また、起訴状では、疑惑のスキームの時点で18歳前後だったとみられるハインリッヒ容疑者が、詐欺行為を行うためにデータを他の共犯者に販売したとしている。
このセキュリティ侵害について直接知っている人物は、起訴状に記載されている被害企業がShopifyであることを認めた。
2020年9月、中小企業向けオンラインeコマースプラットフォームを提供するShopifyは、同社のカスタマーサポートチームに属する「ならず者メンバー」2名が「200未満の加盟店」を対象に犯したデータ侵害を明らかにした。Shopifyは「一部の店舗から顧客の取引記録を取得するスキームに関与していた」として、この2人の契約者を解雇したと述べていた。
Shopifyによると、契約者たちは名前、郵便番号、住所、どの製品やサービスを購入したかなどの注文詳細を含む顧客データを盗んだとのことだった。Shopifyからデータ漏洩の通知を受けたある加盟店は、影響を受けた顧客の支払いカードの下4桁の数字も奪われたと述べており、これは起訴状でも確認されている。
また、BBCが報じたところによると、Kylie Jenner(カイリー・ジェンナー)の化粧品・メイクアップ会社「Kylie Cosmetics」も被害者に含まれていたという。
起訴状によると、ハインリッヒ容疑者はフィリピンにあるサードパーティのカスタマーサポート会社の従業員に報酬を支払い、キックバックと引き換えにスクリーンショットを撮るか、データをGoogleドライブにアップロードすることでShopifyの内部ネットワークの一部にアクセスしたという。ハインリッヒ容疑者はこの従業員に数千ドル相当の暗号資産を支払った他、従業員がカスタマーサービスを提供したがフィードバックを残していなかったマーチャントからのものと称して、偽のポジティブレビューを与えていた。起訴状によると、ハインリッヒ容疑者は一部のマーチャントの1年分のデータを受け取ったとされている。
ハインリッヒ容疑者は少なくとも1年間、Shopifyの内部ネットワークからデータを少しずつ吸い上げ、ある時はカスタマーサポートの従業員が寝ている間に「リモートアクセス」できないかと尋ねたという。
Shopifyの広報担当者であるRebecca Feigelsohn(レベッカ・ファイゲルソン)氏は、短い声明で次のように述べた。「ShopifyはFBIに協力し、2020年9月に起こった少数のマーチャントのデータに関わる事件を調査しました。以前に述べたように、関与した加害者はもはやShopifyで働いていません。犯罪捜査が進行中であるため、現時点ではこれ以上のコメントはできません」。
ハインリッヒ容疑者は2021年2月にロサンゼルス国際空港でFBIに逮捕され、2021年9月7日に開始される裁判に向けて、現在は連邦政府に身柄を拘束されている。彼は無罪を主張しているという。
【更新】本記事はShopifyによるコメントを加え更新された。
カテゴリー:セキュリティ
タグ:Shopify、データ漏洩、逮捕
画像クレジット:SOPA Images / Getty Image
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)
- Original:https://jp.techcrunch.com/2021/04/06/2021-04-05-shopify-breach-hacker-indicted/
- Source:TechCrunch Japan
- Author:Zack Whittaker,Aya Nakazato
Amazonベストセラー
Now loading...