Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も

SMBC信託銀行が外部クラウドサービスを利用して設置する口座開設の申込窓口より情報が流出した問題で、その後の調査で暗号化された暗証番号が平文で閲覧された可能性があることがわかった。

同行では、セールスフォース・ドットコムが提供するクラウドサービス「Salesforce」を利用し、口座開設の申込窓口を設置しているが、設定に不備があり、外部からアクセスを受けたことが2月に明らかとなった。

氏名、住所、電話番号、性別、生年月日、メールアドレス、勤務先のほか、暗号化されたデビット用暗証番号が参照された可能性があるとして3月8日に事態を公表している

同発表を受けて、顧客よりデビット用の暗証番号が復号されるリスクについて問い合わせが寄せられており、同行があらためてセールスフォースに確認を取ったところ、暗号化されたデビット用暗証番号を、復号化された平文の状態で参照できるアクセス経路があることが明らかになったという。

(Security NEXT - 2021/04/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入
神戸市の情報サービスが外部より閲覧可能に - 設定不備で
freee、「Salesforce」利用の複数フォームに設定不備 - 他社事例と異なる部分