Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

バンダイビジュアルの通販サイトで不具合 - クレカ情報など暗号化せずに送信

バンダイビジュアルの公式通販サイト「BANDAI VISUAL CLUB」において、入力した顧客情報が暗号化されず送信される不具合が一部発生していたことがわかった。

同社によれば、2013年12月3日14時から2014年2月4日18時にかけてサイト上に不具合があり、一定条件下で、同サイトの「ショップカート」「ポイントカート」「アンケート画面」「マイページ」「会員移行画面」「ポイント統合画面」などを閲覧すると暗号化されずにデータ送信される状態だった。

氏名や住所、電話番号のほか、ショップカートではクレジットカード情報などを扱っており、入力情報は本来ならば暗号化されるが、平文で送信され、盗聴されるおそれがあった。

暗号化されずにデータが送信された可能性があるケースは、利用者が同サイトにログインした状態でほかのページを閲覧し、再びサイトに戻って対象ページに入力した場合をはじめ、ブックマークからアクセスしたり、URLのスキーム名が「http」だった場合、「うーさーのその日暮らし」特集ページからショップカートに移動して入力した場合などに発生していたという。

2月5日の時点で、今回の不具合にともなうカード情報漏洩といった被害報告は確認されていない。同社では、サイトを一時停止して対策などを講じていたが、7日より再開している。

(Security NEXT - 2014/02/10 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

暗号資産取引所「Liquid」、DNSが改ざん被害 - 本人確認用データなど流出か
「Peatix」に不正アクセス - 最大677万件の個人情報が流出
カプコン、ランサム被害を公表 - 個人情報最大36.4万件を窃取された可能性
ATMの取引情報を記録したCD-Rを紛失 - 北都銀
「Emotet」に感染、送受信メールが流出した可能性 - 京セラ
プレゼント応募者の個人情報含むUSBメモリが所在不明 - 関西テレビ
クラウドのシステムが暗号化され脅迫受ける、詳細は調査中 - ベルパーク
テレワーク環境でマルウェア感染、社内に拡大 - 三菱重工
在宅業務のためUSBメモリを持ち出し紛失 - 岡山の小学校
原子力規制庁でメール誤送信 - 在宅勤務職員の個人メアド誤り第三者へ