解析用委託データに顧客情報、URLや特定操作で混入 - 新生銀行グループ
新生銀行と新生フィナンシャルは、業務委託先や再委託先などへ、振込先の金融機関情報や暗証番号、メールアドレスといった顧客情報を誤って提供していたことを公表した。
業務委託先のウェブ解析事業者や広告メディアなどに対して提供したデータに、顧客情報が含まれていたもの。グループ会社のアプラスにおいてIDやパスワードを誤って提供していたことが判明したことから調査を行ったところ明らかになった。
「新生銀行カードローンエル」と「レイクALSA」では、会員向けメールの配信停止手続きを行った顧客それぞれ6293件、2108件のメールアドレスを提供。ウェブページで手続きを行うとURLに顧客のメールアドレスが含まれる状態となっていた。
また「レイクALSA」では、新規契約者向けウェブ手続きページにおいてURL情報のみ提供するところ、顧客が入力した融資の振込先金融機関に関する口座情報37件や、「レイクALSAカード」の暗証番号とメールアドレス51件が提供データ内に含まれていた。
データ入力後、画面上に配置された送信ボタンではなく、キーボードのエンターキーやスマートフォンのキーボード上の実行キーを押してデータを送信すると、入力内容が業務委託先に提供される仕様となっていたという。
(Security NEXT - 2021/09/28 )
ツイート
PR
関連記事
買収予定関係者に個人情報含む用地実測図を誤送信 - 新潟県
ベンダー設定ミスでFW機能不全、直後ランサム被害 - アクリーティブ
解約手続時に部外者同席、契約情報もとに他社営業 - ジブラルタ生命
手書き帳票デジタル化サービスにサイバー攻撃 - 情報流出の可能性
DV被害者情報を保育施設で加害者に誤提供 - 奈良市
開発リポジトリでクラウドアクセスキーを誤公開 - ビール定期便サービス
米政府、国家支援攻撃者によるF5侵害受け緊急指令
F5にサイバー攻撃 - 未公開の脆弱性含む機器関連情報が流出
委託業者の別自治体向け納品ファイルに個人情報 - あま市
ふるさと納税返礼品提供事業者のメールアドレス流出 - 大阪市
