Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託した解析用データに一部会員の「パスワード」 - アプラス

アプラスは、委託先事業者へ渡した解析用データに、会員サイト利用者の一部「ID」や「パスワード」が含まれていたことを明らかにした。外部への流出は確認されておらず、すでに削除済みだが、不安を感じる場合はIDやパスワードを変更してほしいと利用者に呼びかけている。

同社によれば、同社親会社の新生銀行より業務委託先である事業者2社にアクセス解析のため渡したデータのなかに、同社会員向けアプリより会員サイト「NETstation*APLUS」へログインした際の「ID」および平文の「パスワード」が含まれていたことが判明したもの。

対象となるのは、2017年8月25日以降に同社スマートフォン向けアプリを用いて会員サイトへログインした47万5813人分のアカウント情報。ブラウザよりアクセスしている場合は影響を受けない。

9月3日に新生銀行が委託先1社から戻されたマーケティング用の分析データを検証したところ、「ID」と「パスワード」が含まれていることが判明。さらなる調査で別の1社に対しても同様のデータを渡していることがわかった。本来解析に必要ないデータで、解析処理などには用られていないとしている。

同社によると、会員サイトのログイン認証では、「パスワード」の突合処理に平文の「パスワード」は用いておらず、サーバ内にも保持していないが、解析用に取得したデータのリファラとして「ID」と平文の「パスワード」が含まれていたという。

(Security NEXT - 2021/09/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

一部Facebook連携で別人より個人情報が閲覧可能に - アート販売サイト
観光支援のクーポン発行システムで個人情報が閲覧可能に - 栃木県
LINEギフトの誕生日公開、ヘルプ記載と異なる仕様
大阪市の公開資料にコロナ患者管理システムのパスワード - 2段階認証の盲点も
インスタアカウントが乗っ取り被害、DMに個人情報 - 建築設計会社
健康相談サービスでアップ画像が外部から閲覧可能 - 外部指摘受け修正
サポート担当の業務委託先が侵害被害 - Okta
東京辰巳国際水泳場の指定管理者がマルウェア感染 - 利用者情報が流出か
「Emotet」に感染、診療業務には影響なし - 那須南病院
「Emotet」感染で職員装うメール - 日本気象協会