クラウド設定不備で顧客情報に外部アクセス - 琉球銀

琉球銀行は、口座開設などの申し込み情報を管理する外部クラウドサービスにおいて設定不備があり、同システム内部の顧客情報が、外部の第三者よりアクセスされ、流出した可能性があることを明らかにした。

同行によれば、インターネットより「口座開設」や「オンラインバンキング」「Visaデビットカード」の申し込みを受け付ける「りゅうぎんWeb申込サイト」において設定の不備が明らかとなったもの。

セールスフォース・ドットコムのクラウドサービスでシステムを構築していたが、アクセス制御の設定に問題があり、2020年11月から2021年2月にかけて外部より複数回にわたりアクセスを受けていることが判明した。

同システム内部には、顧客445件の個人情報が保存されており、氏名、登録メールアドレスのほか、申し込み内容によって、住所や電話番号、生年月日、性別、職業、職場電話番号、口座情報、暗号化されたキャッシュカードの暗証番号が含まれる。

申込後に取引不成立となった場合や、申し込まずにサイトを離脱した場合も、フォームへ途中まで入力していた内容がシステム内部に保存されており、アクセスを受けた可能性があるという。

（Security NEXT - 2021/06/28 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀