クラフトビールなどの定期配送サービス「Otomoni」のユーザー情報20,776件が流出した可能性が判明。
対象となる情報として、個人の氏名、住所、電話番号、メールアドレス、生年月日、注文情報、決済情報、法人の企業名、担当者氏名、配送先住所、連絡先が含まれていたとのこと。
同サービス運営の「Brewtope」社によると、2025年8月13日に同社が利用するクラウドサーバーのアクセスキーが、GitHub(インターネット上でコードを公開・管理するサービス)上に公開されていることが判明。
このアクセスキーの公開により、「Otomoni」を利用した顧客情報が、2024年1月13日から2025年8月13日までの1年7ヶ月間、第三者にアクセス可能な状態だったことが判明している。
原因は、アクセスキーの管理体制が不十分だったことや、取り扱いルールの徹底が欠けていたこととされている。
なお、外部からの不正アクセスは検知されていない。
Brewtopeは、アクセスキーを無効化し、第三者からのアクセスを遮断し、認証情報の更新、クラウドサーバーの監査機能見直しを行ったという。
また、対象となる顧客には、個別連絡を順次行い、専用の問い合わせ窓口も設置された。
顧客には、流出した可能性のあるメールアドレスを悪用した「なりすまし」や「フィッシング詐欺」などのリスクがあるとして、差出人や件名に心当たりのないメールは開かずに削除する、メール内のリンクや添付ファイルに注意、同社がパスワードやクレジットカード番号を直接尋ねることはないことから要求には応じないといった対策を呼び掛けている。
Brewtopeは、個人情報の管理体制を強化し、委託先と協力して再発防止策を進める方針としており、「お客様にご迷惑とご心配をおかけしたことを深くお詫び申し上げます」とコメントしている。
