フリマアプリ「スニーカーダンク」に不正アクセス 最大約275万件の顧客情報が漏えい
スニーカーなどの売買ができるフリマアプリ「SNKRDUNK」を運営するSODAは、同サービスで不正アクセスが発生したと発表した。最大で275万3400件の個人情報が漏えいした可能性があるという。
スニーカーなどの売買ができるフリマアプリ「SNKRDUNK」(スニーカーダンク)を運営するSODAは6月15日、同サービスで不正アクセスが発生したと発表した。最大で275万3400件の個人情報が漏えいした可能性があるという。なお、海外版のSNKRDUNKについては影響はないとしている。
不正アクセスは、SNKRDUNKのデータベースに対して実行されたもので、不正なリクエストに対し、DBデータを含むレスポンスを返していたという。6月7日に発覚後、アクセス元をブロック。不正なリクエストに対し、レスポンス内にエラー内容を含まないように対処した他、WAFの導入、外部専門家による脆弱性診断の再実施、不正アクセスの監視強化といったセキュリティ対策を実施したという。
漏えいした可能性のあるデータは、氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワードとしており、6割のユーザーは生年月日、メールアドレス、パスワードの3種類としている。漏えいしたパスワードは復号できないハッシュ化された状態であり、対象の口座情報も最大10件。また、クレジットカード情報や本人確認書類については漏えいの対象外としている。
同社では、個人情報保護委員会と警察への報告、被害相談を完了させており、情報漏えいが確認されたユーザーに対し、個別に案内を実施。問い合わせ窓口も設置している他、情報漏えいの対象かどうかを確認できる専用ページを設置している。
今後については、外部セキュリティ専門家の強力を得ながらセキュリティ強化に取り組むとともに、調査を継続。報告すべき内容が判明次第、速やかに報告するとしている。
関連記事
- 「クレカ情報流出=データを保存していた」とは限らない スイパラ情報漏えいから学ぶ決済の安全性
「スイパラ」利用者のクレジットクレカ情報が漏えいした可能性がある件を巡り、SNSなどで「クレカ情報を保存していたのか?」という反応が上がった。IPAによると、一般論として漏えいしたからといって情報を保存していたとは限らないという。 - 日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで
日清紡のグループ企業が運営するECサイトが不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性がある。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。 - 富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった 被害状況の調査結果
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、脆弱性のあったロードバランサー内で任意のコマンドが実行できる状態だったことが分かった。 - “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。 - 女性服ECでクレカ情報1.6万件漏えいの可能性 不正アクセス・システム改ざん被害で
女性服ECサイトを運営するmachattが、第三者による不正アクセスでECサイトの決済システムが改ざんされ、ユーザーのクレジットカード情報1万6093件が漏えいした可能性があるとして謝罪した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.