メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で

トークン方式のクレジットカード決済サービスは、ウェブサイトへ「JavaScript」を埋め込み、カートシステムなどと連携してトークン方式の決済を行うしくみ。最初にデータベースへアクセスされた2021年10月14日以降、2022年1月25日にかけて不正アクセスを受けた。

データベース内部の決済情報は一定時間ごとに削除されるため、同サービスで取り扱ったすべてのクレジットカード情報を抜き出されたわけではないが、外部より断続的にアクセスが行われており、その際に保存されていた決済情報を窃取された可能性がある。

実際に窃取された情報の特定には至っていないが、アクセスの状況から同社では対象となる最大件数を46万395件と結論づけた。加盟店コードや決済金額、クレジットカードの番号、有効期限、セキュリティコードなどが含まれる。

同社は、同サービスの具体的な導入社数について非公表としているが、「数千サイトが利用している」と説明している。

さらにトークン方式サービスにくわえて、同社が提供する他決済サービスなどを2021年5月6日以降に利用した顧客の決済関連情報約440万件を保有するデータベースに対しても不正アクセスが行われた。

（Security NEXT - 2022/03/01 ） ツイート

PR

関連記事

オーガニック食品の通販サイトで個人情報流出の可能性
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
開発リポジトリでクラウドアクセスキーを誤公開 - ビール定期便サービス
闇サイトでの個人情報流通を契機に不正アクセス判明 - 不動産管理会社
予約管理システムから個人情報が流出した可能性 - 呉竹荘
笹だんごの通販サイトに不正アクセス - 個人情報流出の可能性
教員2人のメルアカ侵害、差出人情報流出のおそれ - 中央大
都委託先でサポート詐欺被害 - 個人情報流出のおそれ
人事データやメールの不正閲覧で職員を処分 - 奈良市
すかいらーく「テイクアウトサイト」 - クレカ情報流出の可能性