パスワードを忘れた? アカウント作成
16502323 story
情報漏洩

ソースネクストから最大12万人超の個人情報漏洩のおそれ 51

ストーリー by nagazou
大規模 部門より
ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている(ソースネクストリリースケータイ WatchNHK)。

漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nemui4 (20313) on 2023年02月15日 12時58分 (#4411200) 日記

    これだけそろってれば買い物できそうですね

    漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。

    他人のなんとかPAYアカウントで買い物するの流行ってるみたいですし

    • 個人的にはセーフ。
      最後のお買い物が、2022/08/25 だったので。
      しかも、年賀状ソフトの自動更新だから、「ユーザーの入力はなし」なので、OKかな。
      でも(セキュリティコードなど含めて)アカウント削除案件かな。
      --
      ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      親コメント
    • by Anonymous Coward

      >パスワードの漏えいはない
      ソースネクストのアカウントに侵入しても一円にもならんってか?w

      これだけそろってれば、パスワードと合わせればいろんなとこ侵入できそうなのになんでだろ。
      手口は決済アプリケーションの改ざんのようだが、もうログインは終わってる状態だから取れなかったのかな。

      • by Anonymous Coward

        そりゃクレカ情報丸ごと抜けるなら有象無象のパスワードなんて無理して取りに行く必要ないだろう。
        使えるパスワード探し出すのなんか下手すりゃゴミ漁りレベルの作業だよ。

  • by Anonymous Coward on 2023年02月15日 12時56分 (#4411197)

    紺屋さん頑張って!

  • by Anonymous Coward on 2023年02月15日 12時57分 (#4411198)

    2年ほど前にソフトを購入しようとして、クレジット決済まで行ったらセキュリティコードを『要求されなかった』ので、
    「うわ、IT 系でコレかよ?」と思って買うのをやめたが正解だった。

    • by Anonymous Coward on 2023年02月15日 13時02分 (#4411203)

      IT系でセキュリティコードを保存していたというのはこれもう致命的ですなぁ・・・

      親コメント
      • by Anonymous Coward on 2023年02月15日 13時11分 (#4411213)

        未だにセキュリティコードが漏れた=保存してた程度の知識しかないお前らもだいぶ致命的だろw

        親コメント
      • by Anonymous Coward

        FAQによれば保存してなかったとのこと。

        https://www.sourcenext.com/support/i/2023/0214_1/ [sourcenext.com]
        > クレジットカード情報を会社側で保存していて漏えいしたのか?
        >
        > 当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコード> が追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました。

        …なのだけど、、、
        ↓は何なんだろうな…
        https://faq.sourcen [sourcenext.com]

        • by Anonymous Coward on 2023年02月15日 13時24分 (#4411224)

          顧客IDを使って決済代行会社のシステムに登録してるだけだろ

          親コメント
          • by Anonymous Coward

            同社のカード情報画面では、
            ・カード番号(末尾以外は伏字)
            ・名義(伏字なし)
            ・有効期限(伏字なし)
            が出るようだけど、この表示内容も都度決済代行会社に照会しているってこと?

            • by Anonymous Coward

              この表示内容も都度決済代行会社に照会しているってこと?

              このページの図が分かりやすいかと。
              図の⑪~⑬あたりです。
              クレジットカード情報お預かり機能 [smbc-fs.co.jp]

              • by Anonymous Coward

                ありがとうございます。
                照会も可能なのですね。

            • by Anonymous Coward

              カード番号の上4桁と下6桁以外をマスクしてれば一緒に保存してOK。
              有効期限も保存してOK。都度決済代行会社に照会しているかどうかはケースバイケース。
              カードホルダー名はどうだったか忘れた。ただ、顧客に提示する意味があまり無いので普通は保存しない。
              詳細が知りたければPCI-DSSとかカードなんちゃら協会のPDFとか見てね。

              • by Anonymous Coward

                おっと間違えた、6-4なので上6桁と下4桁以外をマスクね。失礼。

              • by Anonymous Coward

                どのブランドか表してる上6桁と、確認用下4桁は見せて良しって運用なのね。

              • by Anonymous Coward

                ありがとうございます。
                番号を隠せばOKなんですね。

    • by Anonymous Coward on 2023年02月15日 13時17分 (#4411219)

      買うのをやめたのは正解として、ソースネクストをIT系とするのは正解なんだろうか…

      親コメント
    • by Anonymous Coward

      そのセキュリティコード窃取されてるってことはセキュリティコード入力求めずに取得するテクノロジが使われてるな。

    • by Anonymous Coward

      IT系か否かにかかわらず、ECサイト運営者は、クレカ漏洩で漏れなくセキュリティコードが漏れている状況を認識しているのだろうか?

  • by Anonymous Coward on 2023年02月15日 13時00分 (#4411202)

    セキュリティコードを保持してるのも意味不明すぎてヤバい

    • by Anonymous Coward

      いやいや
      セキュリティコードを収集するようにアプリが改ざんされたという話ですぜ

      とはいえ、最近某電子書籍ショップでセキュリティコードを保存んするように求められたんだが大丈夫かな…

      • そうか。
        確かに、「入力情報が第三者に送信された」だから、フォームへの入力情報なのか。
        もしかしたら、クレジットカードを保存していた人は、むしろ、OK?
        --
        ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
        親コメント
        • さらに、そうか。

          > お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性がある

          で、おそらくは、120,982 - 112,132 = 8,850人が、クレジットカードを登録していて(フォームに入力しなかった)人なのか。
          --
          ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
          親コメント
          • by Anonymous Coward

            うちの父がちょうど『筆まめ』を買い替えてたんですが、
            コンビニ払いにしたためクレジットカード情報は洩れずに済んだようです。

            ほとんどの人はクレジットカード払いなんですなあ

        • by Anonymous Coward on 2023年02月15日 14時00分 (#4411243)

          最近(10年前)の流行りは入力フォーム改竄らしい [tokumaru.org]ので、
          都度クレジットカード情報入力の方が危険とされることもあります。

          親コメント
          • by Anonymous Coward

            毎回パスワードを入力してキーロガーの餌食になるよりパスワードマネージャーのほうが安全、みたいな話

            • by Anonymous Coward

              どちらの方がリスクが大きいかという話でしかないのだろうね。
              今回の件とは違うけど、セキュリティコードを短期的に記録していて、
              それが漏れたという事も起きているし、
              安全神話(都度入力だから安全とか、記録させてるから安全とか)は存在しない。
              なんにせよ漏れる可能性はあるから、明細書をちゃんと確認しようにしかならない。

            • by Anonymous Coward
              某IT企業は社内規定でパスワード保存を禁止にしているけどな
              で、何度も入力させる方が盗まれる確率は上がるのにって社員に言われている
            • by Anonymous Coward

              手入力ででもパスワードマネージャーででもフォームに入れたら抜かれるので意味なくね。

    • by Anonymous Coward

      いや、フォーム自体が改ざんされて、セキュリティコードを (改ざん者の管理下に) 保持するようになってたようだぞ。

    • by Anonymous Coward

      説明を見た感じでは入力する部分を乗っ取ってた感じだけどね。

      クレジットカード番号等は登録した時期の分しか漏洩してないし。
      該当時期に買い物をしててもカードの登録が時期より前であれば漏洩はしてないから。

    • by Anonymous Coward

      どこにもセキュリティコードを保持していたなんて書いてないのに、セキュリティコードを保持していたと思い込んでいるのも意味不明すぎてヤバい

  • by Anonymous Coward on 2023年02月15日 14時59分 (#4411292)

    失礼ながら2か月ほどで12万人が利用する規模だったのに驚いた

    • by Anonymous Coward

      > 2022年11月15日~2023年1月17日

      ということなので、年賀状需要かも。
      現時点で製品を売れている順でソートすると、ウイルス対策ソフトに続いて
      筆王、筆まめ、あて先職人が上位に来ている。

      • by Anonymous Coward

        1か月間550円で、筆王と宛名職人が使える超ホーダイ [sourcenext.com]ってのが有る。
        上手く使えば年賀シーズンに550円で最新版を毎回使える。

        auスマートパスの代替で使ってたので踏んだ可能性があるけど、メール未着。

      • by Anonymous Coward

        なるほど、それじゃ今後年賀状は禁止という事で(そうぢゃない

    • by Anonymous Coward

      今のソースネクストは海外の著名ソフトを安価に売る商社みたいなもんだぜ。

      驚速みたいなしょぼいツールのイメージは知識が10~20年遅れだぜ。

      • by Anonymous Coward

        そうか、Wikipediaみての感想だったんだがWikipediaも10~20年遅れだったようだ、すまんかったな。

        • by Anonymous Coward
          記載内容を更新しようってのが居ないのだろう

          20年以上前に詐欺みたいな事をされてから管理等が杜撰だと思い知ったので、遂に大事になったかと呆れてる
  • by Anonymous Coward on 2023年02月15日 18時21分 (#4411478)

    1/13に読取革命を購入していたので「うそーーーー?」という感じだけど、
    購入時のメールを見直したら支払いはAmazonPayだった。
    それで、よくよく考えたらソースネクストのページではクレジットの
    番号などは入力しなかったから、これは大丈夫だったということかな?

    手元にクレジットカードを用意しておいたけど、どういう流れで
    AmazonPayに誘導されたかよく覚えていない。
    (Amazonのアカウントを持っていない人は買い物できないというのでは変だし)

    ところで、AmazonPayもだけどクレジット払いは3Dセキュアをもっと採用して欲しいよね。
    これなら支払いがクレジット会社に止められることもないし。
    (怪しい請求が来たので止めているとメールが来て、夜中にクレジット会社に電話したことが2回くらいある)

  • by Anonymous Coward on 2023年02月15日 18時31分 (#4411495)

    ガバガバセキュリティZEROの会社なので……

    • by Anonymous Coward

      防御力ZEROのセキュリティソフトなので

  • by Anonymous Coward on 2023年02月15日 21時56分 (#4411645)

    これによって、電話番号と個人を特定する情報を結びつけることができました。
    今後、電話番号を識別に使用したサイトで情報漏洩したら、それらの情報も個人情報に昇華できます。
    ある意味でタトゥーが贈呈されたことになるでしょう。

    なお、電話番号は個人を特定できる情報とは扱われない [ppc.go.jp]ため、厳密に扱われるかは微妙なところです。

    • by Anonymous Coward

      なお、このような番号も、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。

      はっきり電話番号であれなんであれ「特定の個人を識別することができることとなる場合」は個人情報(個人識別符号の間違いか?)ってあるじゃん。
      特定の個人を識別することが出来るのが個人識別符号って当たり前の話でしかないけどね。

  • by Anonymous Coward on 2023年02月16日 11時13分 (#4411871)

    被害者はクレジットカードの請求明細を見て不審な利用が無いかチェックすることになると思いますけど、Amazonで何かありがちなものを買われていると、自分で買ったものかどうか分かりにくいな。

    知らない間に誰かのアマプラ料金払ってたりして。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...