パスワードを忘れた? アカウント作成
13875544 story
情報漏洩

半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 46

ストーリー by hylom
どうしてこうなった 部門より
あるAnonymous Coward曰く、

半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている

この内容からすると、パスワードも平文で、しかも見えるところに置いていた?とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存(少なくともハッシュ値ではない)されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。

流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。

  • by eriol (46576) on 2019年04月01日 18時01分 (#3591424)

    クロネコメンバーズのパスワードは平文で保存されてる。

    集配店でクロネコIDと電話番号をタブレット端末に入力するだけで、Webで登録したパスワードがわかる。
    客が操作する端末がこの仕様。

    クロネコメンバーズに使い回しのパスワードを登録してる人は今すぐ変えたほうがいい。

    ここに返信
    • by Anonymous Coward

      まじで?この2019年に?

      変えるわ。情報提供ありがとう

      • by Anonymous Coward

        パスワードを平文(ないしはサイト運営者側が復号可能な暗号化)で保存するのは、
        2019年だからこそ一周回って「そこまで問題でもない」と言えるようになった部分もある。
        別ストーリーのコメントで紹介されてた高木先生のツイート。#3555101 [srad.jp]

        高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:4, 興味深い)
        by Anonymous Coward on 2019年01月26日 18時19分 (#3555101)
        高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。

        2018年
        https://twitter.com/HiromitsuTakagi/status/986086337005547520 [twitter.com]
        > ハッシュ化パスワードを流出させた場合(この場

        • by Anonymous Coward

          2019年現在、それを実践できてる人がどのくらいの割合いるの?
          全然いない印象だけど。

          • by Anonymous Coward

            実践できてない時点で第三者にパスワード晒してるようなものなので、それがさらに漏洩したとて大した話ではない。
            こういったレベルの業者に他でも使っているパスワードを渡すことのバカでかいリスクから目を逸らす意味が分からない。

            • by Anonymous Coward

              いまのところ配送の兄ちゃんによる不正アクセスの気配はないが、
              Dropboxのお漏らしで、あちこちのサービスのパスワードを変更してまわったことならある。

              配送の兄ちゃんが覗いてしまうリスク < 使い回しのn個のサービスのどれかがやらかして漏洩するリスク

              • by Anonymous Coward

                いや「こういった」は別にクロネコを指している訳じゃないんだ。

          • by Anonymous Coward

            > 2019年現在、それを実践できてる人がどのくらいの割合いるの?
            普通にいる。
            というかスマホに(2段階認証の)ツール入れるのが常識だと思ってるけど。

            2段階認証のないパスワードのみのサイトは、2段階認証で開けるパスワード格納ツールに入れてる
            当然全サイトランダムパスワード

    • by Anonymous Coward

      それだけで平文保存とは断言できないのでは?
      暗号化されて保存されていれば平文保存されていたとは言えない
      まあ、DB引っこ抜ける状態なら復号に必要な情報も取得できる状態だろうから平文保存扱いしてもいいかもしれないが

  • ディスクリートで論理回路を組み上げ、心を込めたはんだ付けをしていれば防げた問題のはず

    ここに返信
  • by Anonymous Coward on 2019年04月01日 17時27分 (#3591395)

    >海外のアーカイブサイトへの削除依頼などの対策を実施し、
    >該当情報はすでに閲覧できない状態になっております。
    >検索サイトのキャッシュおよび海外アーカイブサイトの削除は随時行われていきますが

    これ、海外では有名なarchive.is/archive.todayだと削除強制は無理だろ。
    あの人どんなことでも削除要請拒否するからね

    そもそもネットに載せた時点で誰かが保存するわけで、全部のPCから消そうと思うなら
    EMPミサイルを世界中に撃たないといけなくなる

    ここに返信
      • by Anonymous Coward

        Wayback Machineは削除要請とかrobots.txtをちゃんと受け入れてくれると思うのだけど、なんでまだ残ってんの?
        しかしまぁこれベースにキャプチャされたのは難しいだろうなぁ・・・

        • by Anonymous Coward

          あれリフェラやリンク使うと保存できるので意味ないよ

        • by Anonymous Coward

          https://twitter.com/bulkneets/status/1113296547419054081 [twitter.com]

          robots.txt も設置されてないし、そもそもまともに削除依頼されていなかったのでは

          • by Anonymous Coward

            そういう意味での「なんでまだ残ってんの?」だったり。

            流出起こしたことよりもこの対処内容(そのリンク先のリプライにもあるけど画像謝罪文である事含む)で信用できなくなるわ。
            Hakko REDかなり気に入ってたのに残念。

            #3591968 [srad.jp]じゃないけど、次はgootの買おうかな。

    • by Anonymous Coward

      https://archive.is/Si8TO [archive.is] EMPなら中国か北朝鮮に頼まないとな

  • by Anonymous Coward on 2019年04月01日 17時00分 (#3591366)

    「第三者に不正アクセスされてファイルを公開ディレクトリに置かれた」
    と理解しましたがどうでしょう。

    ここに返信
    • by Anonymous Coward

      白光の直営ECサイトでどんなこて先買ってたかバレちゃうんだ…大変だ…

    • by Anonymous Coward

      他のコメント(個人情報を含むのでリンクしません)でアーカイブのアーカイブへのリンクがあったけど、
      backup.txtってファイル名でタブ区切りテキストにデータが並んでたから
      「不正アクセスしてバックアップを公開ディレクトリに出力させることができた」
      ってことなんでしょうね。
      「正規のバックアップ操作でバックアップが公開ディレクトリに置かれてしまうバグがあった」て可能性もゼロではないけど。

      • by Anonymous Coward

        「正規のバックアップ作業なんてものは存在しなくて、たまたまシステムアップデートするときに手動でバックアップしたものを間違えて公開ディレクトリに置いちゃった」
        じゃないかな

        • by Anonymous Coward

          正規に行われた手動バックアップの手順のバグってことで一つ。

  • by Anonymous Coward on 2019年04月01日 17時21分 (#3591385)

    ユーザー情報は9,793名 → 9793 → 急な草(イキナリワロタ) というところから明らか。

    ここに返信
  • by Anonymous Coward on 2019年04月01日 17時23分 (#3591389)

    <ゲストで購入>
    ・ゲスト購入可能(アカウント作成不要)
    ・商品発想+受領後の90日後にデータ自動削除
    ・そもそも、不必要なデータを長期保存する意味がわからない

    <アカウントを作成・ログインして購入>
    ・アカウント作成必要
    ・作成すると、2回目以降の住所氏名クレカ番号の入力を省略できる
    ・購入履歴も見れる
    ・漏洩の危険性付

    なぜできないの?ゲスト購入できるサイトはいくつかありますよね
    自分なら断然ゲストで買いますが

    ここに返信
    • by Anonymous Coward

      ゲストだからって履歴消してるところほとんどないと思うぞ。
      どこまで詳細な情報を残すかにもよるだろうが、売買の記録は法律的にも7年は保持してるはず。

      • by Anonymous Coward

        > 売買の記録は法律的にも7年は保持

        そうなんだ?そういう法律あるんだ。
        それにしてもDBサーバーとWWWサーバーを1台に押し込めたのかなこれ。分離してなかったの?

        • by Anonymous Coward

          そんな規模のサービスじゃないんでしょ。
          アクセス数が1日数百とかなら、適当なサーバー1台に全部ツッコめば足りてしまうもの。

    • by Anonymous Coward

      https://archive.is/Si8TO [archive.is] のテーブル名を見ると「deleteflag」というのがあるけど
      データを削除してないので意みないっぽい

      deleteflagをつけるならその列の全情報をnullにするぐらいできるはずなのにねぇ

  • by Anonymous Coward on 2019年04月01日 20時13分 (#3591527)

    「お前のメールアカウントのパスワードはこれだろ? このアカウントから知り合いにお前の性癖を暴露されたくなければ、ビットコインで幾ら支払え」って SPAM が去年から来るようになってた。
    その時調べたら、LastPassがハッキングされたニュースを見つけたのでLastPassから漏れたかと思ってた次の日に、白光で登録したパスワードが「お前のパスワードだろ?」に出てきたので、LastPassを確認したら、LastPassには白光のサイトは登録してなく、別経由か白光のサイトから漏れたかな? と思ってたけど、連絡の文章を考えているうちにすっかり忘れてた。(この文を見てわかる通り、文章を書くのは苦手)

    ここに返信
    • by Anonymous Coward on 2019年04月01日 21時25分 (#3591576)

      「うゎこいつ半田ごてなんて買ってやがる」
      「そんなもの何に使うんだよ、やべぇな」
      「人は見かけによりませんね」

      …なんてウワサされる恐怖に怯えてビットコインを払う人がいるかもしれないということか

      • by Anonymous Coward
        あなたの熱いコテ先のことを考えると、私もトロトロになってきちゃうぅ
        ってか
    • by Anonymous Coward

      LastPassが漏洩したとしても、暗号化してるはずだから復号はかなり難しいだろう。
      わざわざ半田ごてメーカーのサイトのパスワードを解析するとは思えん。

      • by Anonymous Coward

        総当たってヒットしたのが半田ごてメーカーのだったらそれを使うだろうし、
        本当に復元困難か疑っていれば全部漏れたと疑うだろし、そう変とも思わん。

  • by Anonymous Coward on 2019年04月02日 15時01分 (#3591968)

    gootのファンになります

    ここに返信
  • by Anonymous Coward on 2019年04月12日 14時55分 (#3597927)

    やべー。ありえない。
    マジムカツク

    ここに返信
    • by Anonymous Coward

      なんか海外からよく分からないメールが大量に届くようになったんだけど

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...