Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

自動車雑貨通販サイトからクレカ情報流出 - テスト環境経由でバックドア

オンラインショップ「イタリア自動車雑貨店」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出していたことがわかった。

同サイトを運営するハックルベリー・アンド・サンズによれば、4月23日に決済代行会社からクレジットカードの不正利用に関する報告があり、その後の調査で判明したもの。サーバが不正アクセスを受けて3月16日にバックドアが設置され、プログラムの改ざんにより、クレジットカード情報が流出したと見られている。

流出の可能性があるのは、2015年4月23日20時までに登録されたクレジットカード情報2万8212件。カード名義や番号、有効期限などで、セキュリティコードは含まないという。実際に流出が確認されているのは、2014年1月以降の利用者だが、サイトを開設した2004年4月以降の顧客についても流出した可能性がある。

同社は不正アクセスを受けた原因について、サイトを構築した事業者が、2012年にテスト環境を同一サーバ内に無断で設置し、そのまま放置していたと説明。テスト環境の管理画面は、簡易なIDとパスワードが設定されており、テスト環境と実環境が同じデータベースを参照していたことからバックドアをしかけられたという。ウェブサイトの改ざんによるマルウェア感染の可能性については否定している。

また漏洩の可能性が判明してから公表まで2カ月間を要したことについて、「早い段階の公表は混乱を招く可能性があった」と釈明。クレジットカード会社の指示に従って公表したとしている。利用者には明細を確認し、心当たりがない請求についてはクレジットカード会社へ連絡を取るようアナウンスしている。

今後同社では、クレジットカード情報を保有せず、PCI DSSに準拠した決済システムを導入したうえでサービスを再開する予定。

(Security NEXT - 2015/06/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

LEDライト通販サイトに不正アクセス - 個人情報流出の可能性
ワコムのネットショップで個人情報流出の可能性 - クレカ情報の窃取も
コスメ通販サイトに不正アクセス - 旧システムで被害
健食通販サイトに不正アクセス - クレカ情報流出し、悪用された可能性
印刷通販サイトに不正アクセス - クレカ情報など流出した可能性
アクセ通販サイトでクレカ情報流出の可能性 - 再開時は旧顧客リストを使用せず
業務用ユニフォームの通信販売サイトに不正アクセス
古着通販サイトに不正アクセス - 警察からの連絡契機に改ざん発見
サイト改ざんでクレカ情報流出の可能性 - スケートボード専門店
美容品販売サイトでクレカ情報流出か - 不正利用の可能性