ホスティング事業者からクレカなど個人情報が流出 - 利用者サーバに不正ファイルも

2015年4月から2016年9月21日にかけて脆弱性が存在し、その間に「OSコマンドインジェクション」による不正アクセスがあり、データベース内の情報を取得されたと見られる。

被害に気が付いた発端は、同社が9月16日に実施したスクリーニング調査。複数利用者のサーバに不正なプログラムがアップロードされていることが判明した。

その後、同社の契約情報を管理するデータベースサーバに対する不正侵入の痕跡を確認。利用者のパスワードが流出した可能性があるとして、事態の公表とパスワードの強制変更を実施。さらに外部事業者の調査を依頼し、同社が10月24日に示した報告をもって、利用者の顧客情報が流出した可能性があることを確定したという。

同社では、所管する官庁や個人情報認定保護団体へ事態を報告。対象となる利用者に対してメールと書面で事情を説明するとともに、クレジットカードの不正利用などが発生していないか、確認するよう注意を呼びかけた。

またサーバにおけるファイルの設置について制限を行い、アップロードの監視を強化。従来保有していたカード情報を削除し、「PCIDSS」に準拠した決済代行会社に決済業務を委託するなどの対応を進めている。

（Security NEXT - 2016/11/10 ） ツイート

PR

関連記事

ネックストラップ通販サイトに不正アクセス - 個人情報流出の可能性
獣医学本販売サイトに不正アクセス - 個人情報流出の可能性
スポーツ用品通販サイトに不正アクセス - 個人情報流出の可能性
日本茶の通販サイトに不正アクセス - 個人情報流出の可能性
食肉通販サイトに不正アクセス - 顧客情報が流出した可能性
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
製麺通販サイトに不正アクセス - 不正プログラム除去も被害継続
飲食店向け備品通販サイトに不正アクセス - 個人情報流出のおそれ
空手関連通販サイトに不正アクセス - 個人情報流出の可能性
青果の通販サイトに不正アクセス - 個人情報流出の可能性