委託した解析用データに一部会員の「パスワード」 - アプラス

アプラスは、委託先事業者へ渡した解析用データに、会員サイト利用者の一部「ID」や「パスワード」が含まれていたことを明らかにした。外部への流出は確認されておらず、すでに削除済みだが、不安を感じる場合はIDやパスワードを変更してほしいと利用者に呼びかけている。

同社によれば、同社親会社の新生銀行より業務委託先である事業者2社にアクセス解析のため渡したデータのなかに、同社会員向けアプリより会員サイト「NETstation*APLUS」へログインした際の「ID」および平文の「パスワード」が含まれていたことが判明したもの。

対象となるのは、2017年8月25日以降に同社スマートフォン向けアプリを用いて会員サイトへログインした47万5813人分のアカウント情報。ブラウザよりアクセスしている場合は影響を受けない。

9月3日に新生銀行が委託先1社から戻されたマーケティング用の分析データを検証したところ、「ID」と「パスワード」が含まれていることが判明。さらなる調査で別の1社に対しても同様のデータを渡していることがわかった。本来解析に必要ないデータで、解析処理などには用られていないとしている。

同社によると、会員サイトのログイン認証では、「パスワード」の突合処理に平文の「パスワード」は用いておらず、サーバ内にも保持していないが、解析用に取得したデータのリファラとして「ID」と平文の「パスワード」が含まれていたという。

（Security NEXT - 2021/09/22 ）ツイート