解析用委託データに顧客情報、URLや特定操作で混入 - 新生銀行グループ
新生銀行と新生フィナンシャルは、業務委託先や再委託先などへ、振込先の金融機関情報や暗証番号、メールアドレスといった顧客情報を誤って提供していたことを公表した。
業務委託先のウェブ解析事業者や広告メディアなどに対して提供したデータに、顧客情報が含まれていたもの。グループ会社のアプラスにおいてIDやパスワードを誤って提供していたことが判明したことから調査を行ったところ明らかになった。
「新生銀行カードローンエル」と「レイクALSA」では、会員向けメールの配信停止手続きを行った顧客それぞれ6293件、2108件のメールアドレスを提供。ウェブページで手続きを行うとURLに顧客のメールアドレスが含まれる状態となっていた。
また「レイクALSA」では、新規契約者向けウェブ手続きページにおいてURL情報のみ提供するところ、顧客が入力した融資の振込先金融機関に関する口座情報37件や、「レイクALSAカード」の暗証番号とメールアドレス51件が提供データ内に含まれていた。
データ入力後、画面上に配置された送信ボタンではなく、キーボードのエンターキーやスマートフォンのキーボード上の実行キーを押してデータを送信すると、入力内容が業務委託先に提供される仕様となっていたという。
(Security NEXT - 2021/09/28 )
ツイート
PR
関連記事
生活保護関連書類持ち帰り家庭ゴミとして処分、情報流出や未支給も - 旭川市
ゼロデイ攻撃の調査結果、一部流出もPW含まず - TOKAIコミュニケーションズ
情報提供メールで誤送信、一部会員のメアド流出 - まちみらい千代田
ふるさと納税寄付者情報を返礼品提供事業者に誤送信 - 京都市
アプリマーケットの連携アプリ経由で顧客情報流出の可能性 - スマレジ
外部アプリ保有の会員情報が流出、原因など調査 - スマレジ
スパム対策機器にゼロデイ攻撃、ディレクトリサーバに横展開 - 慶応大
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
自治体向け資料に個人情報、図関連データとして内包 - 兵庫県
スポーツ教室申込者への案内メール、2度にわたり誤送信 - 桐蔭横浜大
