Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

バンダイビジュアルの通販サイトで不具合 - クレカ情報など暗号化せずに送信

バンダイビジュアルの公式通販サイト「BANDAI VISUAL CLUB」において、入力した顧客情報が暗号化されず送信される不具合が一部発生していたことがわかった。

同社によれば、2013年12月3日14時から2014年2月4日18時にかけてサイト上に不具合があり、一定条件下で、同サイトの「ショップカート」「ポイントカート」「アンケート画面」「マイページ」「会員移行画面」「ポイント統合画面」などを閲覧すると暗号化されずにデータ送信される状態だった。

氏名や住所、電話番号のほか、ショップカートではクレジットカード情報などを扱っており、入力情報は本来ならば暗号化されるが、平文で送信され、盗聴されるおそれがあった。

暗号化されずにデータが送信された可能性があるケースは、利用者が同サイトにログインした状態でほかのページを閲覧し、再びサイトに戻って対象ページに入力した場合をはじめ、ブックマークからアクセスしたり、URLのスキーム名が「http」だった場合、「うーさーのその日暮らし」特集ページからショップカートに移動して入力した場合などに発生していたという。

2月5日の時点で、今回の不具合にともなうカード情報漏洩といった被害報告は確認されていない。同社では、サイトを一時停止して対策などを講じていたが、7日より再開している。

(Security NEXT - 2014/02/10 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
顧客情報を外部送信、表計算ファイルで別シートの存在気付かず - 横浜銀
国立病院機構、職員が患者情報約14万件含むPCを持ち出し - オークション落札者の連絡で判明
公共事業受託事業者のランサム被害、流出範囲特定で難航か
LINE、国外の個人データ保管やアクセス状況を説明 - 「ポリシー上に記載ある」
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
委託先でランサムウェア感染、情報流出の可能性 - 千葉県芝山町
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
委託先でランサム感染、市営住宅入居者情報が流出か - 旭川市
海外ゲームメーカーでランサム被害 - 人気タイトルのソースコード流出か