旧通販サイトでクレカ情報流出、原因は「Heartbleed」 - スイーツ通販サイト

不正アクセスを受けた原因は、「OpenSSL」の「heartbeat拡張」に明らかとなった情報漏洩の脆弱性「Heartbleed（CVE-2014-0160）」が悪用されたものと見られる。

同サイトでは、決済代行会社のAPIサービスを利用してクレジットカード決済を提供しており、クレジットカード情報をサイト内に保管しないしくみだったが、データ伝送にあたり、一時的にメモリ上へ保存されたデータを不正アクセスにより取得されたという。

「Heartbleed」により、メモリ上のデータが窃取された場合、ログが残存しないため、不正アクセスを受けた回数や正確な時期について特定できないとしている。

また情報流出の可能性を把握してから発表までに1年以上を要したが、理由について同社は、閉鎖済みのサイトだったため、調査の実施にあたり、システム設定や情報整理、調査会社とのやりとりに時間を要したと説明。

（Security NEXT - 2019/06/28 ） ツイート

PR

関連記事

ECサイト管理画面に不正アクセス、一部顧客情報が流出 - NSバイオジャパン
ニッタイ工業の通販サイトで侵害 - 個人情報流出の可能性
美容器具の卸売通販サイトで情報流出の可能性 - 詳細を調査
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
笹だんご通販サイトの不正アクセス - 影響範囲が判明
遠隔アクセス用サーバ経由で侵入、個人情報流出の可能性も - サカタのタネ
ECサイトで不具合、会員登録時に別人情報表示 - 下着通販会社
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
リサイクル着物の通販サイト、クレカ情報流出のおそれ