Lemon Cash、外部プロバイダーMixpanelの脆弱性によるユーザーデータ漏洩を公表

アルゼンチンの暗号資産プラットフォーム Lemon Cash は、12月4日に、同社の外部ウェブ解析プロバイダーである Mixpanel が11月9日にセキュリティ侵害を受けた結果、ユーザーの個人情報が流出したことを明らかにしました。

Lemon のチームは送付した声明で次のように述べました。「Lemon 独自のシステムには一切の脆弱性はありませんでした。流出の原因は外部ツールである Mixpanel で、当社のAPIでデータ分析に利用していたものです。ここで一部のユーザーの名前とメールアドレスのみが流出しました。」

暗号資産プラットフォームの運営チームは、秘密鍵、シード、資金には一切影響がなく、今回の流出が暗号資産の盗難など直接的なリスクにはつながらないことを強調しました。「アカウントの全ての機微な情報（残高、取引金額、履歴、アクセス認証情報、パスワード、PIN、IDなど）は完全に保護されています」と説明しています。

Lemon は影響を受けたユーザーに直接メールを送り、「フィッシングの試みへの警戒と、それを防ぐための必要なセキュリティ対策」を呼びかけました。

このインシデントは、攻撃者が Mixpanel のシステムに不正アクセスしたことで発生しました。同社は顧客への通知に時間がかかり、OpenAI や Lemon などにも事後通知を行いました。OpenAI はこの出来事を受けて Mixpanel との提携を解消しました。

Mixpanel のコードが Lemon のページに直接組み込まれていたため、ユーザーが閲覧中に送信した情報が攻撃者の手に渡ることとなりました。