あるAnonymous Coward 曰く、新日本プロレスリングが7月2日、同社公式サイトがサイバー攻撃を受けたことを発表した。顧客情報最大1万8000件が流出した可能性があるという(日刊スポーツ)。同社公式サイトではチケットの販売や公式ファンクラブの入会・更新手続き受付などを行っているが、Webアプリケーションに脆弱性があり、クレジットカード情報や氏名、住所、電話番号、メールアドレスといった情報が漏洩したとのこと。情報流出の可能性がある顧客には郵送で対応を案内するという。
なんで (スコア:2)
クレジットカードの情報を保管しちゃうんだろ。
Re:なんで (スコア:1)
課金部門の人に聞いたところ、返金処理に必要になるらしいです
(さすがに全部保存するとまずいのでマスクしてますが)
Re:なんで (スコア:2, 参考になる)
> 課金部門の人に聞いたところ、返金処理に必要になるらしいです
なくてもよい。
昔私が書いたの貼り付けておく
http://security.srad.jp/comments.pl?sid=609876&cid=2448213 [security.srad.jp]
いまは、クレジットカード番号は、クレジットカード会社のサーバーに送信し、
そのクレジット顧客IDとクレジットトラッキングナンバーだけ自サーバーに保有しています。
で、継続課金はそのクレジット顧客IDとクレジットトラッキングナンバーを使うわけです。
そのクレジット顧客IDとクレジットトラッキングナンバーが漏れても他所で再利用はできないようになっています。
Re: (スコア:0)
ECサイト構築屋さんですが、
まぁ色々理由はあるけれど管理側での代行注文とか注文修正とかで
保持しておきたいって要望はありますね。
我々が提案、構築する分には
基本は決済代行任せにするとか、保持するにしてもDB丸ごと暗号化とかでガチガチにしますけど
規模の大小に関わらず内製のとこはそういう意識が希薄ですね。
作るのも運用するのも内部で閉じてると
コストや利便性の優先度が上がってしまう(トップダウンの命令に逆らえない)とか
色々あるんでしょう。
Re: (スコア:0)
クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるし
しかも一回登録すると削除できないとか
なんなんだろうなあ。
Re:なんで (スコア:3)
> クレジットカード情報を保存する設定にしないとポイントが使えないサイトとかもあるし
それはそれでいいんだけど、
クレジットカード情報をサーバーに保管する必要はないです。
不正アクセス? (スコア:2)
これって不正アクセスなのかな?
本来はIDとパスワードで閉じている情報に不正にアクセスすることを不正アクセスというとして
この情報はIDとパスワードで閉じていたのだろうか?
--
いまだにクレカでの通販続けているのかな?
お詫びページ見たけど… (スコア:0)
情報を漏らしたショップやスマホ入会勧誘バナーがずらっと並んでいるの、プロレスファンは別に気にしないのかな?新日ならやりそうっていう感じなの?
Re:お詫びページ見たけど… (スコア:1)
ノアだけはガチ(笑) (スコア:0)
どうせ、犯人は全日本プロレスとかノアとかの別団体だという設定なんだろ?
流出した個人情報をかけて他団体と対戦して、回収していくという流れなのがわかってるから、流出したファンも安心してみていられる。
明日からの東スポが楽しみやで。
Re:ノアだけはガチ(笑) (スコア:1)
ファイアウォールデスマッチを希望します。
えっ! (スコア:0)
ガチで?