ニトリホールディングスは9月20日、同社が提供するスマートフォンアプリ「ニトリアプリ」への不正アクセスによって、氏名、住所、電話番号などの個人情報が流出した可能性があると発表した。今回、情報漏洩の可能性があるのは「ニトリネット」「ニトリアプリ」「シマホアプリ」の会員登録者または「シマホアプリ」でニトリポイント利用手続きを行ったアカウントだ。
9月15日から20日までの期間で行われていた不正ログインは、他のサービスやアプリから流出したユーザーIDやパスワードを利用したいわゆる「リスト型攻撃」の手法が使われており、漏洩の可能性があるアカウントは現時点で約13万2000に及ぶ。同社はクレジットカード決済に必要な情報をシステム上保持していなかったと説明しており、一部の目隠しされたクレジットカード番号、有効期限が漏洩リストにあるものの、今回の件で不正利用されることはないとしている。
現在、不正ログインによる被害を受けたアカウントのパスワードを順次リセットしており、ユーザーには謝罪とパスワード再設定のメールが送られている。