SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も

SMBC信託銀行が外部クラウドサービスを利用して設置する口座開設の申込窓口より情報が流出した問題で、その後の調査で暗号化された暗証番号が平文で閲覧された可能性があることがわかった。

同行では、セールスフォース・ドットコムが提供するクラウドサービス「Salesforce」を利用し、口座開設の申込窓口を設置しているが、設定に不備があり、外部からアクセスを受けたことが2月に明らかとなった。

氏名、住所、電話番号、性別、生年月日、メールアドレス、勤務先のほか、暗号化されたデビット用暗証番号が参照された可能性があるとして3月8日に事態を公表している。

同発表を受けて、顧客よりデビット用の暗証番号が復号されるリスクについて問い合わせが寄せられており、同行があらためてセールスフォースに確認を取ったところ、暗号化されたデビット用暗証番号を、復号化された平文の状態で参照できるアクセス経路があることが明らかになったという。

（Security NEXT - 2021/04/01 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入