パスワードを忘れた? アカウント作成
15729577 story
ニュース

サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 17

ストーリー by nagazou
流出 部門より
ドラッグストアチェーン「サンドラッグ」は11日、同社のECサイトやクーポン配信サイトなどが不正ログインを受け、個人情報、計1万9057件が流出した可能性があると発表した(サンドラッグリリース[PDF]ITmedia)。

攻撃を受けたとされるのは「サンドラッグ e-shop 本店」および「サンドラッグお客様サイト」。同社の発表によれば「リスト型攻撃」を受けた可能性があるという。7月9日~7月11日の期間に攻撃を受け、氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなどが流出した可能性があるとしている。またクレジットカード情報に関しても、カード番号の頭6桁と下2桁分が流出した可能性があるとのこと。同社によれば、該当者には11日中に個別にメールで連絡をおこなったとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年07月14日 7時28分 (#4289359)

    サンドラッグがサンドバッグに

    • by Anonymous Coward

      あしたのために その1

      リスト型攻撃でログイン
      攻撃の突破口を開くため、あるいは敵の保有情報を見る為、
      左から小刻みにアクセスする事。この際、肘を机の上から離さぬ心構えで、
      やや内側を狙い、えぐり込む様に 打つべし 。正確なリスト型攻撃3発に続く不正アクセスは、
      その被害を3倍にするものなり。

    • by Anonymous Coward

      つまり巧妙なサンドボックスだったのでは。

  • by Anonymous Coward on 2022年07月14日 7時46分 (#4289363)

    サンドラッグに側には大きな瑕疵はないのでは。
    (リスト型攻撃でログインできるということは、2要素認証していないだろうから、それが瑕疵ともいそうだが。)
    そして、リスト型攻撃で、2万件弱のアカウントがログインできるというのも驚き。
    少なくとも、それだけの正しいログイン情報(アカウント名+パスワード)がリストに乗っているってことでしょ。

  • by Anonymous Coward on 2022年07月14日 8時01分 (#4289367)

    今回もパスワードの使いまわしはしていない為、無縁だったようです。

  • 先月楽天のアカウントを不正アクセスされた(楽天はパス変えろという定型文だけしか送ってこなかった)
    そして今回も該当
    二段階認証の重要性を痛感した

    • by Anonymous Coward on 2022年07月14日 11時39分 (#4289509)

      いまだに「定期的にパスワード変更」を強要するサイトがあるのはどうにかしてほしい。
      パスワード使い回し(おそらく覚えられる程度の貧弱なパスワード)の奴のために何で我々までもが無駄な手間をかけさせられるのか。

      親コメント
    • by Anonymous Coward

      痛感すべきポイントがズレてますね。

      あなたに必要なのは2段階認証じゃなくてパスワード変更です。

      あなたのメアドとパスワードが掲載されているリストが流出しているのです。
      サンドラッグで被害にあった原因は、あなたが楽天からきた「パスを変えろ」という警告を無視して
      サンドラッグ側のパスワードを変えず、リストに掲載されているパスワードを使いつづけていたからです。

      他サイトでもパスワードを使いまわしているんでしょう。
      それらのサイトでも今後リスト攻撃を受けますよ。

      • by Anonymous Coward

        元コメですが楽天はメールアドレスでID登録なんてしてないんですが…

        そういや楽天は通報受けるとアカウントを一時凍結するんだけど解除方法がログイン後覗ける登録情報

        • by Anonymous Coward

          ID登録してないならメールアドレスがIDになるんじゃないの?

  • by Anonymous Coward on 2022年07月14日 10時01分 (#4289429)

    ハーモニックも不正アクセスでカード番号やセキュリティコード、住所氏名電話番号をお漏らししたみたいですね。
    自分も購入はしてませんが、株主優待でギフトブック貰ったことがあるので、どうなんでしょね。
    今のところ詫びギフトの案内は届いていないのですが。

    • by Anonymous Coward

      マイナーどころにクレジット情報を入力するのがそもそもの間違いだよね。
      大手だから大丈夫ってわけじゃないけど、セキュリティにかけられる予算が全然違う。
      なので、マイナーなところではRevolutの1回で使えなくなるクレジット(プリペイド)カードを登録してる。

      • by Anonymous Coward

        さすがにハーモニックをマイナー呼ばわりは可哀想。
        クレジットカードなら保証制度もあるわけで、利便性とのバランスでしょ。
        まあ、自分も海外の怪しいところはVプリカで面倒避けてるけどね。

    • by Anonymous Coward

      対象のサイトは、 https://order.harmonick.co.jp/ [harmonick.co.jp] ではなく https://www.harmonick.co.jp/ [harmonick.co.jp] と書いてあるよ。
      https://www.harmonick.co.jp/sh3/support/info.php?pid=announcement [harmonick.co.jp]

  • by Anonymous Coward on 2022年07月14日 13時30分 (#4289591)

    漏れる物は何もない、須らくこうあるべきと勝手に!

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...