ソースネクストから最大12万人超の個人情報漏洩のおそれ 51
ストーリー by nagazou
大規模 部門より
大規模 部門より
ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている(ソースネクストリリース、ケータイ Watch、NHK)。
漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。
漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。
お買い物 (スコア:1)
これだけそろってれば買い物できそうですね
漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。
他人のなんとかPAYアカウントで買い物するの流行ってるみたいですし
Re:お買い物 (スコア:2)
最後のお買い物が、2022/08/25 だったので。
しかも、年賀状ソフトの自動更新だから、「ユーザーの入力はなし」なので、OKかな。
でも(セキュリティコードなど含めて)アカウント削除案件かな。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
>パスワードの漏えいはない
ソースネクストのアカウントに侵入しても一円にもならんってか?w
これだけそろってれば、パスワードと合わせればいろんなとこ侵入できそうなのになんでだろ。
手口は決済アプリケーションの改ざんのようだが、もうログインは終わってる状態だから取れなかったのかな。
Re: (スコア:0)
そりゃクレカ情報丸ごと抜けるなら有象無象のパスワードなんて無理して取りに行く必要ないだろう。
使えるパスワード探し出すのなんか下手すりゃゴミ漁りレベルの作業だよ。
何か? (スコア:0)
紺屋さん頑張って!
予想通りだった (スコア:0)
2年ほど前にソフトを購入しようとして、クレジット決済まで行ったらセキュリティコードを『要求されなかった』ので、
「うわ、IT 系でコレかよ?」と思って買うのをやめたが正解だった。
Re:予想通りだった (スコア:1)
IT系でセキュリティコードを保存していたというのはこれもう致命的ですなぁ・・・
Re:予想通りだった (スコア:1)
未だにセキュリティコードが漏れた=保存してた程度の知識しかないお前らもだいぶ致命的だろw
Re: (スコア:0)
FAQによれば保存してなかったとのこと。
https://www.sourcenext.com/support/i/2023/0214_1/ [sourcenext.com]
> クレジットカード情報を会社側で保存していて漏えいしたのか?
>
> 当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコード> が追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました。
…なのだけど、、、
↓は何なんだろうな…
https://faq.sourcen [sourcenext.com]
Re:予想通りだった (スコア:1)
顧客IDを使って決済代行会社のシステムに登録してるだけだろ
Re: (スコア:0)
同社のカード情報画面では、
・カード番号(末尾以外は伏字)
・名義(伏字なし)
・有効期限(伏字なし)
が出るようだけど、この表示内容も都度決済代行会社に照会しているってこと?
Re: (スコア:0)
この表示内容も都度決済代行会社に照会しているってこと?
このページの図が分かりやすいかと。
図の⑪~⑬あたりです。
クレジットカード情報お預かり機能 [smbc-fs.co.jp]
Re: (スコア:0)
ありがとうございます。
照会も可能なのですね。
Re: (スコア:0)
カード番号の上4桁と下6桁以外をマスクしてれば一緒に保存してOK。
有効期限も保存してOK。都度決済代行会社に照会しているかどうかはケースバイケース。
カードホルダー名はどうだったか忘れた。ただ、顧客に提示する意味があまり無いので普通は保存しない。
詳細が知りたければPCI-DSSとかカードなんちゃら協会のPDFとか見てね。
Re: (スコア:0)
おっと間違えた、6-4なので上6桁と下4桁以外をマスクね。失礼。
Re: (スコア:0)
どのブランドか表してる上6桁と、確認用下4桁は見せて良しって運用なのね。
Re: (スコア:0)
ありがとうございます。
番号を隠せばOKなんですね。
Re:予想通りだった (スコア:1)
買うのをやめたのは正解として、ソースネクストをIT系とするのは正解なんだろうか…
Re: (スコア:0)
そのセキュリティコード窃取されてるってことはセキュリティコード入力求めずに取得するテクノロジが使われてるな。
Re: (スコア:0)
IT系か否かにかかわらず、ECサイト運営者は、クレカ漏洩で漏れなくセキュリティコードが漏れている状況を認識しているのだろうか?
セキュリティコード? (スコア:0)
セキュリティコードを保持してるのも意味不明すぎてヤバい
Re: (スコア:0)
いやいや
セキュリティコードを収集するようにアプリが改ざんされたという話ですぜ
とはいえ、最近某電子書籍ショップでセキュリティコードを保存んするように求められたんだが大丈夫かな…
Re:セキュリティコード? (スコア:2)
確かに、「入力情報が第三者に送信された」だから、フォームへの入力情報なのか。
もしかしたら、クレジットカードを保存していた人は、むしろ、OK?
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:セキュリティコード? (スコア:2)
> お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性がある
で、おそらくは、120,982 - 112,132 = 8,850人が、クレジットカードを登録していて(フォームに入力しなかった)人なのか。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
うちの父がちょうど『筆まめ』を買い替えてたんですが、
コンビニ払いにしたためクレジットカード情報は洩れずに済んだようです。
ほとんどの人はクレジットカード払いなんですなあ
Re:セキュリティコード? (スコア:1)
最近(10年前)の流行りは入力フォーム改竄らしい [tokumaru.org]ので、
都度クレジットカード情報入力の方が危険とされることもあります。
Re: (スコア:0)
毎回パスワードを入力してキーロガーの餌食になるよりパスワードマネージャーのほうが安全、みたいな話
Re: (スコア:0)
どちらの方がリスクが大きいかという話でしかないのだろうね。
今回の件とは違うけど、セキュリティコードを短期的に記録していて、
それが漏れたという事も起きているし、
安全神話(都度入力だから安全とか、記録させてるから安全とか)は存在しない。
なんにせよ漏れる可能性はあるから、明細書をちゃんと確認しようにしかならない。
Re: (スコア:0)
で、何度も入力させる方が盗まれる確率は上がるのにって社員に言われている
Re: (スコア:0)
手入力ででもパスワードマネージャーででもフォームに入れたら抜かれるので意味なくね。
Re: (スコア:0)
いや、フォーム自体が改ざんされて、セキュリティコードを (改ざん者の管理下に) 保持するようになってたようだぞ。
Re: (スコア:0)
説明を見た感じでは入力する部分を乗っ取ってた感じだけどね。
クレジットカード番号等は登録した時期の分しか漏洩してないし。
該当時期に買い物をしててもカードの登録が時期より前であれば漏洩はしてないから。
Re: (スコア:0)
どこにもセキュリティコードを保持していたなんて書いてないのに、セキュリティコードを保持していたと思い込んでいるのも意味不明すぎてヤバい
Re:セキュリティコード? (スコア:1)
とっくに他で指摘されまくってる事を周回遅れで指摘してでもマウント取りたがるのヤバいな
12万人 (スコア:0)
失礼ながら2か月ほどで12万人が利用する規模だったのに驚いた
Re: (スコア:0)
> 2022年11月15日~2023年1月17日
ということなので、年賀状需要かも。
現時点で製品を売れている順でソートすると、ウイルス対策ソフトに続いて
筆王、筆まめ、あて先職人が上位に来ている。
Re: (スコア:0)
1か月間550円で、筆王と宛名職人が使える超ホーダイ [sourcenext.com]ってのが有る。
上手く使えば年賀シーズンに550円で最新版を毎回使える。
auスマートパスの代替で使ってたので踏んだ可能性があるけど、メール未着。
Re: (スコア:0)
なるほど、それじゃ今後年賀状は禁止という事で(そうぢゃない
Re: (スコア:0)
今のソースネクストは海外の著名ソフトを安価に売る商社みたいなもんだぜ。
驚速みたいなしょぼいツールのイメージは知識が10~20年遅れだぜ。
Re: (スコア:0)
そうか、Wikipediaみての感想だったんだがWikipediaも10~20年遅れだったようだ、すまんかったな。
Re: (スコア:0)
20年以上前に詐欺みたいな事をされてから管理等が杜撰だと思い知ったので、遂に大事になったかと呆れてる
ニアミス? (スコア:0)
1/13に読取革命を購入していたので「うそーーーー?」という感じだけど、
購入時のメールを見直したら支払いはAmazonPayだった。
それで、よくよく考えたらソースネクストのページではクレジットの
番号などは入力しなかったから、これは大丈夫だったということかな?
手元にクレジットカードを用意しておいたけど、どういう流れで
AmazonPayに誘導されたかよく覚えていない。
(Amazonのアカウントを持っていない人は買い物できないというのでは変だし)
ところで、AmazonPayもだけどクレジット払いは3Dセキュアをもっと採用して欲しいよね。
これなら支払いがクレジット会社に止められることもないし。
(怪しい請求が来たので止めているとメールが来て、夜中にクレジット会社に電話したことが2回くらいある)
良いイメージなし (スコア:0)
ガバガバセキュリティZEROの会社なので……
Re: (スコア:0)
防御力ZEROのセキュリティソフトなので
12万人様おめでとうございます (スコア:0)
これによって、電話番号と個人を特定する情報を結びつけることができました。
今後、電話番号を識別に使用したサイトで情報漏洩したら、それらの情報も個人情報に昇華できます。
ある意味でタトゥーが贈呈されたことになるでしょう。
なお、電話番号は個人を特定できる情報とは扱われない [ppc.go.jp]ため、厳密に扱われるかは微妙なところです。
Re: (スコア:0)
なお、このような番号も、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。
はっきり電話番号であれなんであれ「特定の個人を識別することができることとなる場合」は個人情報(個人識別符号の間違いか?)ってあるじゃん。
特定の個人を識別することが出来るのが個人識別符号って当たり前の話でしかないけどね。
不正利用のチェック (スコア:0)
被害者はクレジットカードの請求明細を見て不審な利用が無いかチェックすることになると思いますけど、Amazonで何かありがちなものを買われていると、自分で買ったものかどうか分かりにくいな。
知らない間に誰かのアマプラ料金払ってたりして。
Re: (スコア:0)
え?かつて自社で作って売ってたものを売る代行だけでしょ?
ソースネクスト市場。