サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 17
ストーリー by nagazou
流出 部門より
流出 部門より
ドラッグストアチェーン「サンドラッグ」は11日、同社のECサイトやクーポン配信サイトなどが不正ログインを受け、個人情報、計1万9057件が流出した可能性があると発表した(サンドラッグリリース[PDF]、ITmedia)。
攻撃を受けたとされるのは「サンドラッグ e-shop 本店」および「サンドラッグお客様サイト」。同社の発表によれば「リスト型攻撃」を受けた可能性があるという。7月9日~7月11日の期間に攻撃を受け、氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなどが流出した可能性があるとしている。またクレジットカード情報に関しても、カード番号の頭6桁と下2桁分が流出した可能性があるとのこと。同社によれば、該当者には11日中に個別にメールで連絡をおこなったとしている。
攻撃を受けたとされるのは「サンドラッグ e-shop 本店」および「サンドラッグお客様サイト」。同社の発表によれば「リスト型攻撃」を受けた可能性があるという。7月9日~7月11日の期間に攻撃を受け、氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなどが流出した可能性があるとしている。またクレジットカード情報に関しても、カード番号の頭6桁と下2桁分が流出した可能性があるとのこと。同社によれば、該当者には11日中に個別にメールで連絡をおこなったとしている。
つまり (スコア:0)
サンドラッグがサンドバッグに
Re: (スコア:0)
あしたのために その1
リスト型攻撃でログイン
攻撃の突破口を開くため、あるいは敵の保有情報を見る為、
左から小刻みにアクセスする事。この際、肘を机の上から離さぬ心構えで、
やや内側を狙い、えぐり込む様に 打つべし 。正確なリスト型攻撃3発に続く不正アクセスは、
その被害を3倍にするものなり。
Re: (スコア:0)
つまり巧妙なサンドボックスだったのでは。
本当にリスト型攻撃なら (スコア:0)
サンドラッグに側には大きな瑕疵はないのでは。
(リスト型攻撃でログインできるということは、2要素認証していないだろうから、それが瑕疵ともいそうだが。)
そして、リスト型攻撃で、2万件弱のアカウントがログインできるというのも驚き。
少なくとも、それだけの正しいログイン情報(アカウント名+パスワード)がリストに乗っているってことでしょ。
Re:本当にリスト型攻撃なら (スコア:2, 興味深い)
2万件弱のログインを成功させるために何千万回かのリトライを行っていると思うが、それを弾かないというのは瑕疵では
Re:本当にリスト型攻撃なら (スコア:1)
日本では過去1年間だけで8500万件のパスワードが流出している [security.srad.jp]そうなので、2万件の成功は驚くに値しないですね
こういうニュースには今まで無縁でしたが (スコア:0)
今回もパスワードの使いまわしはしていない為、無縁だったようです。
二段階認証を利便性の問題で導入しないところが多いけど (スコア:0)
先月楽天のアカウントを不正アクセスされた(楽天はパス変えろという定型文だけしか送ってこなかった)
そして今回も該当
二段階認証の重要性を痛感した
Re:二段階認証を利便性の問題で導入しないところが多いけど (スコア:2, すばらしい洞察)
いまだに「定期的にパスワード変更」を強要するサイトがあるのはどうにかしてほしい。
パスワード使い回し(おそらく覚えられる程度の貧弱なパスワード)の奴のために何で我々までもが無駄な手間をかけさせられるのか。
Re: (スコア:0)
痛感すべきポイントがズレてますね。
あなたに必要なのは2段階認証じゃなくてパスワード変更です。
あなたのメアドとパスワードが掲載されているリストが流出しているのです。
サンドラッグで被害にあった原因は、あなたが楽天からきた「パスを変えろ」という警告を無視して
サンドラッグ側のパスワードを変えず、リストに掲載されているパスワードを使いつづけていたからです。
他サイトでもパスワードを使いまわしているんでしょう。
それらのサイトでも今後リスト攻撃を受けますよ。
Re: (スコア:0)
元コメですが楽天はメールアドレスでID登録なんてしてないんですが…
そういや楽天は通報受けるとアカウントを一時凍結するんだけど解除方法がログイン後覗ける登録情報
Re: (スコア:0)
ID登録してないならメールアドレスがIDになるんじゃないの?
なんかカタログギフトの (スコア:0)
ハーモニックも不正アクセスでカード番号やセキュリティコード、住所氏名電話番号をお漏らししたみたいですね。
自分も購入はしてませんが、株主優待でギフトブック貰ったことがあるので、どうなんでしょね。
今のところ詫びギフトの案内は届いていないのですが。
Re: (スコア:0)
マイナーどころにクレジット情報を入力するのがそもそもの間違いだよね。
大手だから大丈夫ってわけじゃないけど、セキュリティにかけられる予算が全然違う。
なので、マイナーなところではRevolutの1回で使えなくなるクレジット(プリペイド)カードを登録してる。
Re: (スコア:0)
さすがにハーモニックをマイナー呼ばわりは可哀想。
クレジットカードなら保証制度もあるわけで、利便性とのバランスでしょ。
まあ、自分も海外の怪しいところはVプリカで面倒避けてるけどね。
Re: (スコア:0)
対象のサイトは、 https://order.harmonick.co.jp/ [harmonick.co.jp] ではなく https://www.harmonick.co.jp/ [harmonick.co.jp] と書いてあるよ。
https://www.harmonick.co.jp/sh3/support/info.php?pid=announcement [harmonick.co.jp]
登録時は非常に緩い登録内容だったので (スコア:0)
漏れる物は何もない、須らくこうあるべきと勝手に!