クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス

[ITmedia]

　美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。

ニュースリリースより

　原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト（WebShell）が設置され、サーバ内を不正操作されたこと。

　2020年12月24日〜2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。

　同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。

　対象の顧客には5月20日からメールで個別に連絡しているという。