• 3日ランキング
  • 1週間ランキング
  • 月間ランキング


メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
1646084177749

 

記事によると

・クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。

・流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。

・同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。

・メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。

以下、全文を読む

 

この記事への反応

日本の多重下請け構造で
セキュリティ対策は最も削られる部分だからな
現場がヤバいからしっかり対策すべきだと言っても
上は時間も費用も出さずにやれと言うだけ
事故らないほうがおかしい


> 22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。
今どきSQLインジェクションされるジャップセキュリティ


フロントエンドエンジニアばっかで
鯖の開発者も構築・運用者も不足してるんだよ
あとクラウド化やフレームワークで簡単になったように見えて
痒い所に手を出すとうっかり穴開けちゃう罠


> クレジットカードの番号、有効期限、セキュリティコード
この3点セットが揃ってたら、半分くらいの通販サイトで使い放題じゃんね
というかセキュリティコードを保存してるのおかしくね?


はああああ????

一人五百円だから2.3億くらいお支払やな

これあかんやつやん。

特定できないから謝罪もなし?

セキュリティコードの保存の危険はだいぶ前から言われてたよね。今はデビットカードにしてるよ

形跡消えてるし内部じゃないの?
実際昨年から被害出てるし



気づくの遅くね

 

B09Q5GM5PQ星のカービィ ディスカバリー -Switch
 
B09SZ2WPRSPOP UP PARADE To LOVEる とらぶる ダークネス 古手川 唯 ノンスケール プラスチック製 塗装済み完成品フィギュア

コメント(22件)

1.プリン投稿日:2022年03月01日 08:04▼返信
プリン母犯罪者
2.名無し投稿日:2022年03月01日 08:18▼返信
これが本スレでご高説を垂れてるお前らよりも上のスキルを持ってる連中な。
3.とある名無しのオタコム投稿日:2022年03月01日 08:21▼返信
セキュリティを売り物にするサービスでセキュリティざるなのはいかがかと。
4.とある名無しのオタコム投稿日:2022年03月01日 08:22▼返信
※2
×お前ら
〇俺
5.とある名無しのオタコム投稿日:2022年03月01日 08:26▼返信
手際良すぎ
元社員や派遣の仕業か?
6.とある名無しのオタコム投稿日:2022年03月01日 08:39▼返信
これはロシア関係ないん?
7.とある名無しのオタコム投稿日:2022年03月01日 08:51▼返信
ITとか詳しくないから適当なこと言うけど
大事なデータの入ったPCってオフラインにしてないの?
8.とある名無しのオタコム投稿日:2022年03月01日 08:57▼返信
ようわからんのだが、セキュリティコードをなんで向こうが控えてんの・・・?
9.とある名無しのオタコム投稿日:2022年03月01日 09:03▼返信
※8
店の代わりにそういう情報を管理するサービスだぞ。
お役所の認可かなんかがいるんじゃなかったかな。
10. 投稿日:2022年03月01日 09:10▼返信
本スレに「デビットカードにしてる」から大丈夫 みたいなコメントあるけどデビットカードだと預金そっくり抜かれる危険性があるんじゃないの?
クレカの場合 不正があれば保険で返金されるけどデビットカードの場合どうなるんだろう?預金だけじゃなく勝手にカードローン組まれたりしないか?
11.とある名無しのオタコム投稿日:2022年03月01日 09:13▼返信
保存してるならセキュリティコード無意味じゃん
12.とある名無しのオタコム投稿日:2022年03月01日 09:20▼返信
※9
なんのためのセキュリティコードだ・・・
13.とある名無しのオタコム投稿日:2022年03月01日 09:24▼返信
paypayとかクレジットシステムぶっ壊すアホに賠償させろよ
損しないからアホやるやつが後を絶たない
14.とある名無しのオタコム投稿日:2022年03月01日 10:12▼返信
>>6
去年の12月に連絡受けてだから昨今のロシア報復とは別じゃないか
15.とある名無しのオタコム投稿日:2022年03月01日 10:31▼返信
バックドアなら外注使ってたんだろうなぁ。ま、今まで経費節減に努めてた金あるから
数億~数十億の賠償金くらい余裕でしょ。
16.とある名無しのオタコム投稿日:2022年03月01日 10:38▼返信
スマホにNFCカードリーダーついてるのだから、カードなしでの決済自体やめろ
17.投稿日:2022年03月01日 11:00▼返信
代表取締役社長 和田洋一
あ…はい…
18.とある名無しのオタコム投稿日:2022年03月01日 14:26▼返信
イキってる画像で吹いた
19.とある名無しのオタコム投稿日:2022年03月01日 16:42▼返信
日本企業は下請けを何重に重ねてセキュリティ部分はまったく予算に回さず
発覚したら「ごめんね」ぐらいで済んでしまう
20. 投稿日:2022年03月01日 22:45▼返信
滋賀でも役所が派手に流出させてたな
営業ばっか達者で、ちゃんと技術を持った業者がいないんだろうなあ
21.とある名無しのオタコム投稿日:2022年03月02日 01:58▼返信
※10
デビットカードの口座持ってるけど、普段は口座を維持する最小限の預金だけ入れておいて、買い物する時に必要な金額を入金してすぐ支払うように使ってるんじゃないかな
22.とある名無しのオタコム投稿日:2022年03月02日 11:18▼返信
日本では個人情報流出で何か起こった場合に流出させた企業を訴えても
裁判所は情報を流出したから問題が起こった因果関係が立証されなければ棄却されてしまうので
個人情報の登録は自己責任になってしまう(犯人が捕まれば訴えれる)

最近は第3者に見せますと書かれてたりする契約書もある 
これの場合は個人情報を中国やその他の企業に売る場合(行為的には見せると同じ)も含まれている

直近のコメント数ランキング

直近のRT数ランキング