Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

自動車雑貨通販サイトからクレカ情報流出 - テスト環境経由でバックドア

オンラインショップ「イタリア自動車雑貨店」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出していたことがわかった。

同サイトを運営するハックルベリー・アンド・サンズによれば、4月23日に決済代行会社からクレジットカードの不正利用に関する報告があり、その後の調査で判明したもの。サーバが不正アクセスを受けて3月16日にバックドアが設置され、プログラムの改ざんにより、クレジットカード情報が流出したと見られている。

流出の可能性があるのは、2015年4月23日20時までに登録されたクレジットカード情報2万8212件。カード名義や番号、有効期限などで、セキュリティコードは含まないという。実際に流出が確認されているのは、2014年1月以降の利用者だが、サイトを開設した2004年4月以降の顧客についても流出した可能性がある。

同社は不正アクセスを受けた原因について、サイトを構築した事業者が、2012年にテスト環境を同一サーバ内に無断で設置し、そのまま放置していたと説明。テスト環境の管理画面は、簡易なIDとパスワードが設定されており、テスト環境と実環境が同じデータベースを参照していたことからバックドアをしかけられたという。ウェブサイトの改ざんによるマルウェア感染の可能性については否定している。

また漏洩の可能性が判明してから公表まで2カ月間を要したことについて、「早い段階の公表は混乱を招く可能性があった」と釈明。クレジットカード会社の指示に従って公表したとしている。利用者には明細を確認し、心当たりがない請求についてはクレジットカード会社へ連絡を取るようアナウンスしている。

今後同社では、クレジットカード情報を保有せず、PCI DSSに準拠した決済システムを導入したうえでサービスを再開する予定。

(Security NEXT - 2015/06/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

2018年の通販サイト不正アクセスを公表 - 磁石専門店
チーズ通販サイトに不正アクセス - クレカ情報流出か
まつ毛エクステ通販サイトに不正アクセス - 決済画面が改ざん
業務用タピオカの通販サイトに不正アクセス - クレカ情報流出
豚肉製品通販サイトに不正アクセス - クレカ情報流出の可能性
ワイン通販サイト、クレカ情報流出の可能性
水産加工品通販サイトに不正アクセス - クレカ情報が流出
ペット用品通販サイトでクレカ情報流出 - 決済停止後にも被害
バイク用品通販サイトに不正アクセス - クレカ情報流出の可能性
ベーグル店に不正アクセス - クレカ情報流出の可能性