PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 19
ストーリー by nagazou
個人営業者も多いだろう 部門より
個人営業者も多いだろう 部門より
決済サービス「PayPay」は12月7日、ブラジルから不正アクセスを受けて加盟店の関連情報2007万6016件が流出した可能性があると発表した。不正アクセスがあったのは11月28日だという(PayPay)。
加盟店情報のみで一般ユーザーの情報に関しては別のサーバーであったことから流出していないとしている。不正アクセスに至った原因については、アクセス権限の設定で、2020年10月18日~12月3日の期間は不備のあった状態になっていた。外部からの連絡により判明したとしている。
同社によれば流出した可能性のある情報は以下の通り。
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
アクセスされた可能性のある最大件数:20,076,016件
「当社管理サーバーのアクセス履歴について」 (スコア:2)
2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。(後略)
何この表現?
これがありなら、例えば
「事務所荒らしに遭いました」→「当店の入退室履歴について」
「車ではねちゃいました」→「ドライブレコーダー記録について」
「不正な支出がありました」→「出納帳について」
応用が効きそうだ
2020年12月1日に外部からの連絡 (スコア:0)
> 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、
> 加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日に
> ブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。
2020年12月1日に外部からの連絡。12月3日までに遮断。
遮断は12月3日?12月2日?12月1日?
わざと分からないような表現にしている。
連絡を受けて、しばらくどう対応していいか分からなかった・決まってなかったんじゃないかな。
Re: (スコア:0)
連絡を受けて、しばらくどう対応していいか分からなかった・決まってなかったんじゃないかな。
説得に3日かかった可能性も微レ存
報告者 < 上長、ブラジルから来ています!
上長 < 遠路はるばるアポ無しか?追い返せ!
報告者 < え?いや、そうではなく。。。
上長 < 私は忙しい!師走に煩わせるな!
意味不明すぎる (スコア:0)
2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。
なぜたったそれだけで「ブラジルから不正アクセス」と断定できるのか?
なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。
おかげでその後に続くこの部分の信憑性もなくなる。
Re:意味不明すぎる (スコア:1)
この件とは直接関係ないけれど
アクセスログ監視してると、DBのバックアップをまるっと取って外部サーバに送りつけるワンライナーなインジェクション攻撃とか、来てるもんですよ。
当然その1行のアクセスでも処理成功してたらアウトなわけで
後ろの部分の信憑性が怪しい点には同意
Re: (スコア:0)
隠さず、はっきり「原因は、当該情報へのアクセス権限の設定不備です。」と書いているのは高評価!?
Re: (スコア:0)
「不正アクセス」とは断定していないんだよな。
不正アクセスじゃない (スコア:0)
PayPayの発表では一言も「不正アクセス」とは述べていない。
おそらくデータベースが誰でも見れる状態になってたとか、そういう系。
言葉の定義の問題だけど、そういうのは一般に不正アクセスとは言わない。
Re: (スコア:0)
不正アクセス禁止法の対象にならないしね。
Re: (スコア:0)
office氏は無罪だった?
郵送料かからなくてよかったね (スコア:0)
アクセスされた可能性のある人に500pt進呈して終わりでそ?
Re: (スコア:0)
しかもPayPayボーナスライトとか?
代表者生年月日 (スコア:0)
代表者生年月日で何に使うのだろう。
本人確認だけ?
Re: (スコア:0)
パスワード忘れたときとか?
IT関連でブラジルって聞くと(オフトピック) (スコア:0)
未来検索ブラジルの方を思い出してしまう俺、一種の病気かも
# アマゾン(地域)から不正アクセスがあった、ってニュースじゃなくって良かった、みんなが勘違いせずに済んだ
バレて困ること (スコア:0)
そんなものあるのか?
ちょっとでも安いものをと追いかける乞食リストに、どういう使い道を見つけたのか?
下手すると、俺の個人情報を使いたいなら五百円よこせとせがまれるだけだぞ。
Re:バレて困ること (スコア:1)
ACで書いているお前の実名
Re: (スコア:0)
個人情報保護法で適切に管理することが必要なのにされてない時点でアウト。
悪用としては、Amazonの詐欺マケプレの出展情報に便利かもね。
住所、連絡先まで手に入るから。
不正アクセスの足跡 (スコア:0)
ハッキングで内部情報ぶっこ抜けるハッカーなら
なぜ足跡(アクセスログなど)を消し去らないのか?
話は変わるが、
10-11月にアマゾンに表示される自分の住所が出鱈目に表示されていた時期があった
GGると他でも多数起こっている現象
その頃から、詐欺メッセージが毎日数回届くようになった
「クレカ期限切れだから更新しろとか」「20万未払いだとか」
アマゾンも顧客データぶっこ抜かれたんじゃねーのか????
これどうやってブロックすればいいんだろうか?
fromがアマゾンドメインだから迷惑フィルターにもかけられないんだが・・・