本日、カード漏えい事件が2件発表されていましたので、取り急ぎ仮記事をUPします。(後で正式記事をUP予定です)
www2.uccard.co.jp
■「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び
1件目(Modern Beauty Tokyo)は、EC-CUBEですね。
2件目の、直久オンラインショップは、EC-CUBEではなさそうです。
www2.uccard.co.jp
■弊社ネットショップに使用するアプリケーションサービス「Allin1 Office」が
運用するサーバーへ䛾不正アクセス発生について䛾ご報告とお詫び
弊社ネットショップに使用する全研本社株式会社提供䛾アプリケーションサービス「Allin1 Office」が運用するサーバーに外部から不正アクセスがあり、その内容を調査いたしましたところ、お客様䛾個人情報が、不正アクセスにより流出した可能性があることを確認いたしました
(公式発表より引用)
「Allin1Office」を調べてみますと・・・想像を絶しました。(個人的には)
オールインワンオフィス マスターログイン - ネットショップ構築 ホームページ制作 モバイルサイト戦略は、PC&モバイル完全対応のオールインワン!
ログイン画面が丸出し・・・直久以外のサイトは・・・大丈夫なのでしょうか?
(セキュリティ考えてこの設計にしたのだとすれば、、、裏でリスクベース認証でも走っているんだろうなー。棒。)
確認してませんが、”ID/PASSWORDを忘れた場合”=バイパスになりそうな機能も・・・気になりますね。登録メールアドレスと、電話番号で照合ですか。。。infoのメアドと店の電話番号がHPに書いてあったら、画面にID出てくる?運用なのでしょうか。。。結構危なそうな予感がしました。
もう少し調べて、本記事を上げられたらと思います。
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
