Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

解析用委託データに顧客情報、URLや特定操作で混入 - 新生銀行グループ

新生銀行と新生フィナンシャルは、業務委託先や再委託先などへ、振込先の金融機関情報や暗証番号、メールアドレスといった顧客情報を誤って提供していたことを公表した。

業務委託先のウェブ解析事業者や広告メディアなどに対して提供したデータに、顧客情報が含まれていたもの。グループ会社のアプラスにおいてIDやパスワードを誤って提供していたことが判明したことから調査を行ったところ明らかになった。

「新生銀行カードローンエル」と「レイクALSA」では、会員向けメールの配信停止手続きを行った顧客それぞれ6293件、2108件のメールアドレスを提供。ウェブページで手続きを行うとURLに顧客のメールアドレスが含まれる状態となっていた。

また「レイクALSA」では、新規契約者向けウェブ手続きページにおいてURL情報のみ提供するところ、顧客が入力した融資の振込先金融機関に関する口座情報37件や、「レイクALSAカード」の暗証番号とメールアドレス51件が提供データ内に含まれていた。

データ入力後、画面上に配置された送信ボタンではなく、キーボードのエンターキーやスマートフォンのキーボード上の実行キーを押してデータを送信すると、入力内容が業務委託先に提供される仕様となっていたという。

(Security NEXT - 2021/09/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

再就職支援者の個人情報を企業に誤送信 - 東京しごとセンター
端末49台がマルウェア感染、ランサムと異なる手法 - 富士通
角川ドワンゴ学園の生徒や保護者情報も流出か - KADOKAWAが報告
不審者情報メールに被害児童の個人情報を誤記載 - 新潟市
委託先ランサム被害で顧客情報流出、当初報告から状況変化 - クボタクレジット
寮生管理システムで個人情報が閲覧可能に - 認証機能の実装なく
クラウドストレージでデータ流出や消失被害 - ビルコム
委託事業者が受給者証交付者リストを別の医療機関に誤送付 - 大阪市
バイト情報サイトから登録者情報が流出 - 転得したとの人物から連絡も
ランサム被害が発生、個人情報流出の可能性も - 情報処理会社