メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
記事によると
・クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。
・流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。
・同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。
・メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。
以下、全文を読む
この記事への反応
・日本の多重下請け構造で
セキュリティ対策は最も削られる部分だからな
現場がヤバいからしっかり対策すべきだと言っても
上は時間も費用も出さずにやれと言うだけ
事故らないほうがおかしい
・> 22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。
今どきSQLインジェクションされるジャップセキュリティ
・フロントエンドエンジニアばっかで
鯖の開発者も構築・運用者も不足してるんだよ
あとクラウド化やフレームワークで簡単になったように見えて
痒い所に手を出すとうっかり穴開けちゃう罠
・> クレジットカードの番号、有効期限、セキュリティコード
この3点セットが揃ってたら、半分くらいの通販サイトで使い放題じゃんね
というかセキュリティコードを保存してるのおかしくね?
・はああああ????
・一人五百円だから2.3億くらいお支払やな
・これあかんやつやん。
・特定できないから謝罪もなし?
・セキュリティコードの保存の危険はだいぶ前から言われてたよね。今はデビットカードにしてるよ
・形跡消えてるし内部じゃないの?
実際昨年から被害出てるし
気づくの遅くね
星のカービィ ディスカバリー -Switch
POP UP PARADE To LOVEる とらぶる ダークネス 古手川 唯 ノンスケール プラスチック製 塗装済み完成品フィギュア
×お前ら
〇俺
元社員や派遣の仕業か?
大事なデータの入ったPCってオフラインにしてないの?
店の代わりにそういう情報を管理するサービスだぞ。
お役所の認可かなんかがいるんじゃなかったかな。
クレカの場合 不正があれば保険で返金されるけどデビットカードの場合どうなるんだろう?預金だけじゃなく勝手にカードローン組まれたりしないか?
なんのためのセキュリティコードだ・・・
損しないからアホやるやつが後を絶たない
去年の12月に連絡受けてだから昨今のロシア報復とは別じゃないか
数億~数十億の賠償金くらい余裕でしょ。
あ…はい…
発覚したら「ごめんね」ぐらいで済んでしまう
営業ばっか達者で、ちゃんと技術を持った業者がいないんだろうなあ
デビットカードの口座持ってるけど、普段は口座を維持する最小限の預金だけ入れておいて、買い物する時に必要な金額を入金してすぐ支払うように使ってるんじゃないかな
裁判所は情報を流出したから問題が起こった因果関係が立証されなければ棄却されてしまうので
個人情報の登録は自己責任になってしまう(犯人が捕まれば訴えれる)
最近は第3者に見せますと書かれてたりする契約書もある
これの場合は個人情報を中国やその他の企業に売る場合(行為的には見せると同じ)も含まれている