半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 46
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
あるAnonymous Coward曰く、
半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている。
この内容からすると、パスワードも平文で、しかも見えるところに置いていた?とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存(少なくともハッシュ値ではない)されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。
流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。
クロネコメンバーズ (スコア:3, 参考になる)
クロネコメンバーズのパスワードは平文で保存されてる。
集配店でクロネコIDと電話番号をタブレット端末に入力するだけで、Webで登録したパスワードがわかる。
客が操作する端末がこの仕様。
クロネコメンバーズに使い回しのパスワードを登録してる人は今すぐ変えたほうがいい。
Re: (スコア:0)
まじで?この2019年に?
変えるわ。情報提供ありがとう
Re: (スコア:0)
パスワードを平文(ないしはサイト運営者側が復号可能な暗号化)で保存するのは、
2019年だからこそ一周回って「そこまで問題でもない」と言えるようになった部分もある。
別ストーリーのコメントで紹介されてた高木先生のツイート。#3555101 [srad.jp]
Re: (スコア:0)
2019年現在、それを実践できてる人がどのくらいの割合いるの?
全然いない印象だけど。
Re: (スコア:0)
実践できてない時点で第三者にパスワード晒してるようなものなので、それがさらに漏洩したとて大した話ではない。
こういったレベルの業者に他でも使っているパスワードを渡すことのバカでかいリスクから目を逸らす意味が分からない。
Re: (スコア:0)
いまのところ配送の兄ちゃんによる不正アクセスの気配はないが、
Dropboxのお漏らしで、あちこちのサービスのパスワードを変更してまわったことならある。
配送の兄ちゃんが覗いてしまうリスク < 使い回しのn個のサービスのどれかがやらかして漏洩するリスク
Re: (スコア:0)
いや「こういった」は別にクロネコを指している訳じゃないんだ。
Re: (スコア:0)
> 2019年現在、それを実践できてる人がどのくらいの割合いるの?
普通にいる。
というかスマホに(2段階認証の)ツール入れるのが常識だと思ってるけど。
2段階認証のないパスワードのみのサイトは、2段階認証で開けるパスワード格納ツールに入れてる
当然全サイトランダムパスワード
Re: (スコア:0)
それだけで平文保存とは断言できないのでは?
暗号化されて保存されていれば平文保存されていたとは言えない
まあ、DB引っこ抜ける状態なら復号に必要な情報も取得できる状態だろうから平文保存扱いしてもいいかもしれないが
自社の強みを生かさずソフトウェアに頼るからこうなる (スコア:1)
ディスクリートで論理回路を組み上げ、心を込めたはんだ付けをしていれば防げた問題のはず
Re:自社の強みを生かさずソフトウェアに頼るからこうなる (スコア:2, おもしろおかしい)
Re: (スコア:0)
やったつもりだったけど、コテ先のメッキが剥げたのかも。交換時期だな。
Re: (スコア:0)
まずはケミカルペーストFS100だ。鉄メッキがはげるまで使えぇ。
Re: (スコア:0)
こんな管理してるくせにIoT対応って草
http://www.hakko.com/japan/products/hakko_fn1102.html [hakko.com]
Re: (スコア:0)
ニセモノが横行しているようです。
https://www.hakko.com/japan/news/070810.html [hakko.com]
Re: (スコア:0)
ひよっこが芋はんだやらかしたな
Re: (スコア:0)
すげえ74シリーズで実装されたWebサーバとか見てみたい!
Re: (スコア:0)
これ [alles.or.jp]で動くwebサーバーをなんとかできれば。
Re: (スコア:0)
メモリ潤沢にすればサーバ処理は書けるだろうけど、
どうやってネットワークにぶら下げるかが問題な気がする。
10BASE-Tでも10MHz必要。
アナログモデムならもっと落とせるかもだが、74では無くなるな。
アナログこそ本領、な解釈でなら問題ないか?
Re: (スコア:0)
せめてFPGAで許してください
「海外アーカイブサイトの削除」無理、絶対無理。 (スコア:1)
>海外のアーカイブサイトへの削除依頼などの対策を実施し、
>該当情報はすでに閲覧できない状態になっております。
>検索サイトのキャッシュおよび海外アーカイブサイトの削除は随時行われていきますが
これ、海外では有名なarchive.is/archive.todayだと削除強制は無理だろ。
あの人どんなことでも削除要請拒否するからね
そもそもネットに載せた時点で誰かが保存するわけで、全部のPCから消そうと思うなら
EMPミサイルを世界中に撃たないといけなくなる
Re: (スコア:0)
これかな
https://web.archive.org/web/20190309161932/ec.hakko.com/backup.txt [archive.org]
Re: (スコア:0)
Wayback Machineは削除要請とかrobots.txtをちゃんと受け入れてくれると思うのだけど、なんでまだ残ってんの?
しかしまぁこれベースにキャプチャされたのは難しいだろうなぁ・・・
Re: (スコア:0)
あれリフェラやリンク使うと保存できるので意味ないよ
Re: (スコア:0)
https://twitter.com/bulkneets/status/1113296547419054081 [twitter.com]
robots.txt も設置されてないし、そもそもまともに削除依頼されていなかったのでは
Re: (スコア:0)
そういう意味での「なんでまだ残ってんの?」だったり。
流出起こしたことよりもこの対処内容(そのリンク先のリプライにもあるけど画像謝罪文である事含む)で信用できなくなるわ。
Hakko REDかなり気に入ってたのに残念。
#3591968 [srad.jp]じゃないけど、次はgootの買おうかな。
Re: (スコア:0)
https://archive.is/Si8TO [archive.is] EMPなら中国か北朝鮮に頼まないとな
>意味がわからない (スコア:0)
「第三者に不正アクセスされてファイルを公開ディレクトリに置かれた」
と理解しましたがどうでしょう。
Re: (スコア:0)
白光の直営ECサイトでどんなこて先買ってたかバレちゃうんだ…大変だ…
正解ぽい (スコア:0)
他のコメント(個人情報を含むのでリンクしません)でアーカイブのアーカイブへのリンクがあったけど、
backup.txtってファイル名でタブ区切りテキストにデータが並んでたから
「不正アクセスしてバックアップを公開ディレクトリに出力させることができた」
ってことなんでしょうね。
「正規のバックアップ操作でバックアップが公開ディレクトリに置かれてしまうバグがあった」て可能性もゼロではないけど。
Re: (スコア:0)
「正規のバックアップ作業なんてものは存在しなくて、たまたまシステムアップデートするときに手動でバックアップしたものを間違えて公開ディレクトリに置いちゃった」
じゃないかな
Re: (スコア:0)
正規に行われた手動バックアップの手順のバグってことで一つ。
釣られるな。エイプリルフールだろ (スコア:0)
ユーザー情報は9,793名 → 9793 → 急な草(イキナリワロタ) というところから明らか。
ゲスト購入オプションもっと流行れ (スコア:0)
<ゲストで購入>
・ゲスト購入可能(アカウント作成不要)
・商品発想+受領後の90日後にデータ自動削除
・そもそも、不必要なデータを長期保存する意味がわからない
<アカウントを作成・ログインして購入>
・アカウント作成必要
・作成すると、2回目以降の住所氏名クレカ番号の入力を省略できる
・購入履歴も見れる
・漏洩の危険性付
なぜできないの?ゲスト購入できるサイトはいくつかありますよね
自分なら断然ゲストで買いますが
Re: (スコア:0)
ゲストだからって履歴消してるところほとんどないと思うぞ。
どこまで詳細な情報を残すかにもよるだろうが、売買の記録は法律的にも7年は保持してるはず。
Re: (スコア:0)
> 売買の記録は法律的にも7年は保持
そうなんだ?そういう法律あるんだ。
それにしてもDBサーバーとWWWサーバーを1台に押し込めたのかなこれ。分離してなかったの?
Re: (スコア:0)
そんな規模のサービスじゃないんでしょ。
アクセス数が1日数百とかなら、適当なサーバー1台に全部ツッコめば足りてしまうもの。
Re: (スコア:0)
https://archive.is/Si8TO [archive.is] のテーブル名を見ると「deleteflag」というのがあるけど
データを削除してないので意みないっぽい
deleteflagをつけるならその列の全情報をnullにするぐらいできるはずなのにねぇ
あー、やっぱりか (スコア:0)
「お前のメールアカウントのパスワードはこれだろ? このアカウントから知り合いにお前の性癖を暴露されたくなければ、ビットコインで幾ら支払え」って SPAM が去年から来るようになってた。
その時調べたら、LastPassがハッキングされたニュースを見つけたのでLastPassから漏れたかと思ってた次の日に、白光で登録したパスワードが「お前のパスワードだろ?」に出てきたので、LastPassを確認したら、LastPassには白光のサイトは登録してなく、別経由か白光のサイトから漏れたかな? と思ってたけど、連絡の文章を考えているうちにすっかり忘れてた。(この文を見てわかる通り、文章を書くのは苦手)
Re:あー、やっぱりか (スコア:1)
「うゎこいつ半田ごてなんて買ってやがる」
「そんなもの何に使うんだよ、やべぇな」
「人は見かけによりませんね」
…なんてウワサされる恐怖に怯えてビットコインを払う人がいるかもしれないということか
Re: (スコア:0)
ってか
Re: (スコア:0)
LastPassが漏洩したとしても、暗号化してるはずだから復号はかなり難しいだろう。
わざわざ半田ごてメーカーのサイトのパスワードを解析するとは思えん。
Re: (スコア:0)
総当たってヒットしたのが半田ごてメーカーのだったらそれを使うだろうし、
本当に復元困難か疑っていれば全部漏れたと疑うだろし、そう変とも思わん。
幻滅しました (スコア:0)
gootのファンになります
アカウント乗っ取られたのこれのせいか (スコア:0)
やべー。ありえない。
マジムカツク
Re: (スコア:0)
なんか海外からよく分からないメールが大量に届くようになったんだけど