Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

解析用委託データに顧客情報、URLや特定操作で混入 - 新生銀行グループ

新生銀行と新生フィナンシャルは、業務委託先や再委託先などへ、振込先の金融機関情報や暗証番号、メールアドレスといった顧客情報を誤って提供していたことを公表した。

業務委託先のウェブ解析事業者や広告メディアなどに対して提供したデータに、顧客情報が含まれていたもの。グループ会社のアプラスにおいてIDやパスワードを誤って提供していたことが判明したことから調査を行ったところ明らかになった。

「新生銀行カードローンエル」と「レイクALSA」では、会員向けメールの配信停止手続きを行った顧客それぞれ6293件、2108件のメールアドレスを提供。ウェブページで手続きを行うとURLに顧客のメールアドレスが含まれる状態となっていた。

また「レイクALSA」では、新規契約者向けウェブ手続きページにおいてURL情報のみ提供するところ、顧客が入力した融資の振込先金融機関に関する口座情報37件や、「レイクALSAカード」の暗証番号とメールアドレス51件が提供データ内に含まれていた。

データ入力後、画面上に配置された送信ボタンではなく、キーボードのエンターキーやスマートフォンのキーボード上の実行キーを押してデータを送信すると、入力内容が業務委託先に提供される仕様となっていたという。

(Security NEXT - 2021/09/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

大阪市の公開資料にコロナ患者管理システムのパスワード - 2段階認証の盲点も
個人情報含む議事録をサイトで誤公開 - ファンコミュニティ運営会社
Emotet感染でメール約85万件が流出した可能性 - JP-AC
大和証券海外子会社にサイバー攻撃 - 情報流出など影響を調査
コロナ患者情報を誤送信、表計算ファイル内に残存 - 静岡県
サポート担当の業務委託先が侵害被害 - Okta
個情委、破産者情報サイトの運営者に命令 - 違反すれば刑事告発も
印刷通販サイトで顧客の個人情報が流出
トヨタのコネクテッドサービスで申込書約14万件が所在不明
メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で