解析用委託データに顧客情報、URLや特定操作で混入 - 新生銀行グループ

新生銀行と新生フィナンシャルは、業務委託先や再委託先などへ、振込先の金融機関情報や暗証番号、メールアドレスといった顧客情報を誤って提供していたことを公表した。

業務委託先のウェブ解析事業者や広告メディアなどに対して提供したデータに、顧客情報が含まれていたもの。グループ会社のアプラスにおいてIDやパスワードを誤って提供していたことが判明したことから調査を行ったところ明らかになった。

「新生銀行カードローンエル」と「レイクALSA」では、会員向けメールの配信停止手続きを行った顧客それぞれ6293件、2108件のメールアドレスを提供。ウェブページで手続きを行うとURLに顧客のメールアドレスが含まれる状態となっていた。

また「レイクALSA」では、新規契約者向けウェブ手続きページにおいてURL情報のみ提供するところ、顧客が入力した融資の振込先金融機関に関する口座情報37件や、「レイクALSAカード」の暗証番号とメールアドレス51件が提供データ内に含まれていた。

データ入力後、画面上に配置された送信ボタンではなく、キーボードのエンターキーやスマートフォンのキーボード上の実行キーを押してデータを送信すると、入力内容が業務委託先に提供される仕様となっていたという。

（Security NEXT - 2021/09/28 ） ツイート

PR

関連記事

総務省、「通信の秘密」漏洩でIIJに行政指導 - 2020年3月以降に6件
宛先リストに誤り、還元ギフトを異なる顧客に送信 - Looop
複数小売事業者が利用するECシステムに不正アクセス - 個人情報約15万件に影響か
発表前に関連情報が流出したプレスリリースは871件 - PR TIMESが調査結果
委託した解析用データに一部会員の「パスワード」 - アプラス
系列販売店27社で同意なく個人情報取得 - トヨタのID登録で
建設コンサルのランサム被害 - あらたに2県が事態公表
建設コンサルのランサム被害 - 都では4局より業務を委託
メルアドリストを誤ってメール添付 - ウォーターサークルくまもと
健診データ送付時に他事業所データを混入 - 報道健保