スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく

洋菓子など扱う通信販売サイト「西光亭ネットショップ」は、不正アクセスにより顧客情報が外部に流出した可能性があることを明らかにした。eコマースシステムで利用するサードパーティ製ソフトに存在した「ゼロデイ脆弱性」が標的にされたという。

同サイトで利用している「EC-CUBE」のサードパーティ製プラグインに存在した脆弱性を突く不正アクセスを受けたもの。サイトを改ざんされ、クレジットカード決済時の入力情報を窃取された可能性がある。

対象となるのは、3月10日から6月16日にかけて、同サイトで注文時に入力された顧客のクレジットカード情報3079件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。あわせてメールアドレスやパスワード、端末のIPアドレス、注文日時などの情報も被害に遭ったおそれがある。

また不正アクセスを通じて、サイト内に不正なツールを設置された。データベースから氏名や住所、電話番号、ファックス番号、生年月日、メールアドレス、ソルト追加の上ハッシュ化されているパスワードなどを読み取られた可能性もある。

ログより流出の有無や対象を特定することが難しく、サイトを停止した6月16日までに同サイトで会員登録を行ったすべての顧客について流出の可能性があるとした。具体的な件数は公表していない。

（Security NEXT - 2021/12/06 ） ツイート

PR

関連記事

人事情報の不正閲覧で職員2人を処分、以前から漏洩のうわさ - 筑前町
eモータースポーツ公式アカウントの乗っ取りで個人情報流出の可能性
問合フォームに別人の個人情報、キャッシュ設定不備で - ソフト開発会社
JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
サポート詐欺被害でイベント参加者名簿が流出の可能性 - 山口市
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性