福島県郡山市の衣服店もカード情報漏えい被害に遭った様です。
www2.uccard.co.jp
■公式発表 弊社が運営する「FULLSPEC. WEB SITE」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
◆キタきつねの所感
まだ今年が終わった訳ではありませんが、EC-CUBE2系は当たり年だったと言えるかも知れません。またEC-CUBEユーザからの漏えい事件の発表です。
(1)原因
弊社が運営する「FULLSPEC. WEB SITE」のシステムの一部の脆弱性をついたことにより、ペイメントアプリケーションの改ざんが行われ、第三者の不正アクセスが発生した。
(2)個人情報流出の可能性があるお客様
2018年9月7日~2019年1月30日の期間中に「FULLSPEC. WEB SITE」においてクレジットカード決済をされたお客様62名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
クレジット決済は止まっていましたが、サイトは閉鎖されてませんでしたので、EC-CUBEの証跡は簡単に見つかりました。(念のため魚拓サイトで被害を受けていた時期のサイト構成も見ましたが、こちらでもEC-CUBE痕跡がありました)
現在の支払いガイダンスは・・・こんな感じですが、
事件前は、当然の事ながらクレジットカードも掲載されています。
カード決済を止めてから、事件リリースが出るまでの間は、顧客から見ると不自然にカード決済が停止している訳ですが、魚拓サイトで見ると、
只今クレジットカード決済メンテナンス中につきご利用いただけません、代引き・代引きクレジット・paypal・銀行振込をご利用下さい
となっていました。
※余談ですがこの説明文言を使って、他のカード決済が停止しているサイトが出ないかな?といつも検索してみるのですが、意外とひっかかりません。
他に気になった所では、 時系列関係では、1月末にカード漏えいの疑いが出て、発表が12月?と思わなくもありませんが、フォレンジック調査会社からのレポートを6月30日に受領していると考えると、6カ月・・・最近はカード情報漏えい事件の発表も多い事を考えると、諸々の準備・順番待ちでこんなものなのかも知れません。
参考まで、2019年のカード漏洩事件リストを貼っておきます。
・上期(1月~6月)19件 ※内EC-CUBE 11件
・下期(7月~12月)34件 ※内EC-CUBE 30件
foxestar.hatenablog.com
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
