SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も

デビット用暗証番号が閲覧された可能性があるのは、Visaデビットの機能を備えるキャッシュカード「GLOBAL PASS」の提供を開始した2019年10月1日から2020年7月18日にかけて申し込んだ顧客1954人。これ以外のデビット用暗証番号については、すでに削除済みとしている。

2020年11月および12月に、3万7176人分のデータより、あわせて101件のレコードが参照されたが、外部から参照された具体的な対象者は、バグにより特定できないとしている。これらに対象となる1954人が含まれている可能性がある。

流出のおそれがある暗証番号は、デビット用のものだけで、キャッシュカードの暗証番号や電話取引用の暗証番号は「Salesforce」上に保存されておらず、影響を受けない。

デビット用暗証番号は、店舗におけるデビットカードの利用時や海外ATMで出金する場合にのみ利用するもので、これら取引には、あわせて「キャッシュカード」が必要となる。

同行では、対象となる顧客1954人に対して経緯を説明して謝罪。窓口や無料で暗証番号を変更する方法について案内を行った。不正利用に関する被害の連絡は受けていないという。

（Security NEXT - 2021/04/01 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入