星巴克HR 平台與加拿大零售與藥局巨頭 Loblaw資料外洩事件資料整理
事件概述
- Loblaw 客戶資料外洩事件
加拿大零售與藥局巨頭 Loblaw 發現其 IT 網路中一個非核心系統區段遭到未授權存取,攻擊者取得部分客戶資料。外洩資料主要包含:
公司表示密碼、信用卡資料與健康資訊未被取得。
- Starbucks 員工資料外洩事件
Starbucks 的內部 HR 平台 Partner Central 遭到釣魚攻擊,攻擊者透過假網站誘騙員工輸入帳密,進而登入內部帳號並取得員工資料。受影響帳戶約 889 個員工帳號。外洩資料可能包含:
此類資料屬於高敏感個資。
資料外洩原因(Root Causes)
綜合兩起事件,可歸納出三類主要原因。
- 身分驗證與社交工程弱點
Starbucks 事件屬於典型 Credential Phishing,攻擊流程:
- 建立假冒企業入口網站
- 員工輸入帳密
- 攻擊者使用憑證登入內部系統
此類攻擊顯示:
- 使用者安全意識不足
- MFA 或身份驗證保護不足
- 釣魚防護機制不足
此為目前企業最常見的資料外洩途徑之一。
- 內部系統存取控制不足
Loblaw 事件顯示:
- 攻擊者成功存取公司 IT 網路的一部分系統
- 該系統儲存客戶聯絡資料
- 可能的弱點包括:
- 網路區隔不足
- 存取控制鬆散
- 資料庫權限管理不足
攻擊者即使只進入「非核心系統」,仍可取得客戶個資。
- 資料保護與監控機制不足
兩起事件皆反映,企業仍存在以下問題:
- 個資未充分最小化
- 帳號行為監測不足
- 異常存取未即時偵測
例如 Starbucks 事件是在發現帳號異常後才啟動調查。。
事件影響分析
- 社交工程攻擊風險增加
Loblaw 的資料雖然只是基本聯絡資訊,但仍可能被用於:
攻擊者可利用品牌信任度誘騙客戶。
- 身份盜用與金融詐欺
Starbucks 事件外洩的資料包含:
這些資料可能被用於:
因此風險等級遠高於一般聯絡資料外洩。
綜合趨勢分析
從兩起事件可觀察三個資安趨勢:
- 企業內部系統成為主要攻擊目標
攻擊者不再只攻擊客戶平台,而是:
- 社交工程仍是最有效攻擊手段
釣魚攻擊仍然是成本最低、成功率最高和最難完全防止的入侵方式。
資料來源:
https://www.securityweek.com/loblaw-data-breach-impacts-customer-information/, 2026/3/15; https://www.securityweek.com/starbucks-data-breach-impacts-employees/, 2026/3/13
2026年3月Loblaw與星巴克發生的資安事件剖析