ひな人形の通販サイト、クレカ含む個人情報が流出した可能性

くわえて2022年1月20日までに同サイトへ会員登録したり、商品の購入やカタログ請求を行った顧客5382人に関する情報についても、外部へ流出した可能性があることが判明。対象となる個人情報の件数としては最大1万450件にのぼるという。

具体的には、会員登録をした顧客1875人に関する氏名や住所、電話番号、メールアドレス、同サイトのIDおよびパスワードのほか、任意で登録した会社名、職業、性別、生年月日などの情報なども対象となる。

くわえて同日までに商品を購入したり、カタログを請求した顧客最大3507人についても、氏名、住所、電話番号、メールアドレスのほか、商品を購入した場合は、届け先の情報、子どもの氏名や生年月日なども流出した可能性がある。

対象となる情報にパスワードも含まれるが、ハッシュ化の実施やソルト追加の有無に関しては「セキュリティの観点より回答を控える」としてコメントを得られなかった。

外部事業者による調査は2022年2月18日に完了。その後4月12日に警察へ被害を申告し、4月28日に個人情報保護委員会へ報告した。対象となる顧客に対しては、6月30日よりメールで報告と謝罪を行っている。

同社は2022年1月20日までに会員登録した顧客に対して同社サイトよりログインパスワードを変更するよう注意を喚起。また同じアカウント情報を他サイトで使いまわしている場合は、同じく変更するよう呼びかけている。

（Security NEXT - 2022/07/01 ）ツイート