パスワードを忘れた? アカウント作成
15006616 story
情報漏洩

PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 19

ストーリー by nagazou
個人営業者も多いだろう 部門より

決済サービス「PayPay」は12月7日、ブラジルから不正アクセスを受けて加盟店の関連情報2007万6016件が流出した可能性があると発表した。不正アクセスがあったのは11月28日だという(PayPay)。

加盟店情報のみで一般ユーザーの情報に関しては別のサーバーであったことから流出していないとしている。不正アクセスに至った原因については、アクセス権限の設定で、2020年10月18日~12月3日の期間は不備のあった状態になっていた。外部からの連絡により判明したとしている。

同社によれば流出した可能性のある情報は以下の通り。

(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
アクセスされた可能性のある最大件数:20,076,016件

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。(後略)

    何この表現?
    これがありなら、例えば
    「事務所荒らしに遭いました」→「当店の入退室履歴について」
    「車ではねちゃいました」→「ドライブレコーダー記録について」
    「不正な支出がありました」→「出納帳について」
    応用が効きそうだ

  • by Anonymous Coward on 2020年12月08日 12時32分 (#3938050)

    > 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、
    > 加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日に
    > ブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。
    2020年12月1日に外部からの連絡。12月3日までに遮断。
    遮断は12月3日?12月2日?12月1日?
    わざと分からないような表現にしている。
    連絡を受けて、しばらくどう対応していいか分からなかった・決まってなかったんじゃないかな。

    • by Anonymous Coward

      連絡を受けて、しばらくどう対応していいか分からなかった・決まってなかったんじゃないかな。

      説得に3日かかった可能性も微レ存

      報告者 < 上長、ブラジルから来ています!

      上長 < 遠路はるばるアポ無しか?追い返せ!

      報告者 < え?いや、そうではなく。。。

      上長 < 私は忙しい!師走に煩わせるな!

  • by Anonymous Coward on 2020年12月08日 12時36分 (#3938055)

    2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。

    なぜたったそれだけで「ブラジルから不正アクセス」と断定できるのか?

    なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。

    おかげでその後に続くこの部分の信憑性もなくなる。

    • by minet (45149) on 2020年12月08日 13時06分 (#3938085) 日記

      この件とは直接関係ないけれど
      アクセスログ監視してると、DBのバックアップをまるっと取って外部サーバに送りつけるワンライナーなインジェクション攻撃とか、来てるもんですよ。
      当然その1行のアクセスでも処理成功してたらアウトなわけで

      後ろの部分の信憑性が怪しい点には同意

      親コメント
    • by Anonymous Coward

      隠さず、はっきり「原因は、当該情報へのアクセス権限の設定不備です。」と書いているのは高評価!?

    • by Anonymous Coward

      「不正アクセス」とは断定していないんだよな。

  • by Anonymous Coward on 2020年12月08日 12時39分 (#3938057)

    PayPayの発表では一言も「不正アクセス」とは述べていない。
    おそらくデータベースが誰でも見れる状態になってたとか、そういう系。
    言葉の定義の問題だけど、そういうのは一般に不正アクセスとは言わない。

    • by Anonymous Coward

      不正アクセス禁止法の対象にならないしね。

      • by Anonymous Coward

        office氏は無罪だった?

  • by Anonymous Coward on 2020年12月08日 13時24分 (#3938104)

    アクセスされた可能性のある人に500pt進呈して終わりでそ?

    • by Anonymous Coward

      しかもPayPayボーナスライトとか?

  • by Anonymous Coward on 2020年12月08日 13時28分 (#3938108)

    代表者生年月日で何に使うのだろう。
    本人確認だけ?

    • by Anonymous Coward

      パスワード忘れたときとか?

  • by Anonymous Coward on 2020年12月08日 15時49分 (#3938253)

    未来検索ブラジルの方を思い出してしまう俺、一種の病気かも

    # アマゾン(地域)から不正アクセスがあった、ってニュースじゃなくって良かった、みんなが勘違いせずに済んだ

  • by Anonymous Coward on 2020年12月09日 1時54分 (#3938652)

    そんなものあるのか?
    ちょっとでも安いものをと追いかける乞食リストに、どういう使い道を見つけたのか?

    下手すると、俺の個人情報を使いたいなら五百円よこせとせがまれるだけだぞ。

    • by Anonymous Coward on 2020年12月09日 7時43分 (#3938684)

      ACで書いているお前の実名

      親コメント
    • by Anonymous Coward

      個人情報保護法で適切に管理することが必要なのにされてない時点でアウト。

      悪用としては、Amazonの詐欺マケプレの出展情報に便利かもね。
      住所、連絡先まで手に入るから。

  • by Anonymous Coward on 2020年12月09日 10時45分 (#3938784)

    ハッキングで内部情報ぶっこ抜けるハッカーなら
    なぜ足跡(アクセスログなど)を消し去らないのか?

    話は変わるが、
    10-11月にアマゾンに表示される自分の住所が出鱈目に表示されていた時期があった
    GGると他でも多数起こっている現象
    その頃から、詐欺メッセージが毎日数回届くようになった
    「クレカ期限切れだから更新しろとか」「20万未払いだとか」
    アマゾンも顧客データぶっこ抜かれたんじゃねーのか????

    これどうやってブロックすればいいんだろうか?
    fromがアマゾンドメインだから迷惑フィルターにもかけられないんだが・・・

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...