Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

自動車雑貨通販サイトからクレカ情報流出 - テスト環境経由でバックドア

オンラインショップ「イタリア自動車雑貨店」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出していたことがわかった。

同サイトを運営するハックルベリー・アンド・サンズによれば、4月23日に決済代行会社からクレジットカードの不正利用に関する報告があり、その後の調査で判明したもの。サーバが不正アクセスを受けて3月16日にバックドアが設置され、プログラムの改ざんにより、クレジットカード情報が流出したと見られている。

流出の可能性があるのは、2015年4月23日20時までに登録されたクレジットカード情報2万8212件。カード名義や番号、有効期限などで、セキュリティコードは含まないという。実際に流出が確認されているのは、2014年1月以降の利用者だが、サイトを開設した2004年4月以降の顧客についても流出した可能性がある。

同社は不正アクセスを受けた原因について、サイトを構築した事業者が、2012年にテスト環境を同一サーバ内に無断で設置し、そのまま放置していたと説明。テスト環境の管理画面は、簡易なIDとパスワードが設定されており、テスト環境と実環境が同じデータベースを参照していたことからバックドアをしかけられたという。ウェブサイトの改ざんによるマルウェア感染の可能性については否定している。

また漏洩の可能性が判明してから公表まで2カ月間を要したことについて、「早い段階の公表は混乱を招く可能性があった」と釈明。クレジットカード会社の指示に従って公表したとしている。利用者には明細を確認し、心当たりがない請求についてはクレジットカード会社へ連絡を取るようアナウンスしている。

今後同社では、クレジットカード情報を保有せず、PCI DSSに準拠した決済システムを導入したうえでサービスを再開する予定。

(Security NEXT - 2015/06/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性
鹿児島農産品の通販サイトで個人情報流出の可能性 - クレカや認証情報も
東京ヴェルディの通販サイトに不正アクセス - クレカ情報が流出
健康食品通販サイトに不正アクセス - 個人情報流出の可能性
ワイン通販サイトに不正アクセス - 個人情報流出の可能性
自動車パーツの通販サイトに不正アクセス - エンラージ商事
2.5次元俳優グッズの通販サイト、個人情報流出の可能性
社会人向け検定サービスサイトに不正アクセス