Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託した解析用データに一部会員の「パスワード」 - アプラス

アプラスは、委託先事業者へ渡した解析用データに、会員サイト利用者の一部「ID」や「パスワード」が含まれていたことを明らかにした。外部への流出は確認されておらず、すでに削除済みだが、不安を感じる場合はIDやパスワードを変更してほしいと利用者に呼びかけている。

同社によれば、同社親会社の新生銀行より業務委託先である事業者2社にアクセス解析のため渡したデータのなかに、同社会員向けアプリより会員サイト「NETstation*APLUS」へログインした際の「ID」および平文の「パスワード」が含まれていたことが判明したもの。

対象となるのは、2017年8月25日以降に同社スマートフォン向けアプリを用いて会員サイトへログインした47万5813人分のアカウント情報。ブラウザよりアクセスしている場合は影響を受けない。

9月3日に新生銀行が委託先1社から戻されたマーケティング用の分析データを検証したところ、「ID」と「パスワード」が含まれていることが判明。さらなる調査で別の1社に対しても同様のデータを渡していることがわかった。本来解析に必要ないデータで、解析処理などには用られていないとしている。

同社によると、会員サイトのログイン認証では、「パスワード」の突合処理に平文の「パスワード」は用いておらず、サーバ内にも保持していないが、解析用に取得したデータのリファラとして「ID」と平文の「パスワード」が含まれていたという。

(Security NEXT - 2021/09/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「ちばシティポイント」参加者のアカウント情報などが外部流出の可能性 - 千葉市
発表前に関連情報が流出したプレスリリースは871件 - PR TIMESが調査結果
医師のクラウドアカウントに不正アクセス - 愛知県がんセンター
JTB海外関連会社への不正アクセス、原因はアカウント侵害 - 北米顧客の情報流出は確認されず
従業員メルアカが乗っ取り被害、訓練効果で早期に把握 - EIZO
eコマース事業者向け情報サイトでアカウント情報が流出 - 原因は調査中
富士通のプロジェクト情報共有ツール、129組織で情報流出
中国の再委託先、データを無許可で個人クラウドに - 村田製作所
患者情報含む医師個人のクラウドアカウントが乗っ取り被害 - 岡大病院
発表前の配信代行プレスリリースに外部アクセス、URLを推測か - PR TIMES