不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告（第2報）｜印刷通販のグラフィック

（第1報）2016年7月27日配信分 （第1報）2016年7月22日配信分 （第1報）2016年7月19日配信分 2016年9月06日 お客様各位 株式会社グラフィック 代表取締役 西野 能央 不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告（第2報） 7月19日に発表しました不正アクセスによる弊社顧客情報データベース（以下「顧客DBS」といいます）からの情報流出事案について、 原因ならびに被害状況等を外部の専門調査会社（以下、「調査会社」といいます）で調査を実施しておりました。 先般の発表時には、「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません。」とご説明しておりましたが、このたびの調査の結果、顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明

[reachout]

セキュリティコードを保存するような設計をした重罪人がいるらしいぞ。

[solidstatesociety]

セキュリティコード保持はもう逮捕でいいんじゃないかな

[cinefuk]

「中国人が盗んだ」じゃねーよ、保管する必要のない情報をサーバで管理してた責任。＞流出の疑いのある情報：・クレジットカード番号・セキュリティコード（3もしくは4桁の確認番号）・有効期限・グラフィック会員ID

[zyansu]

もう各クレジット会社が決済システム持って各企業はクレジットカード情報を持ち込めないようにしてほしい

[ockeghem]

当初カード情報を保存していなかったのに、その後の改修で保存する仕様となり、それが漏洩した。例の判決案件の経緯と似ている http://blog.tokumaru.org/2015/01/sql.html

[naglfar]

やっぱりクレジットカード番号もセキュリティコードも有効期限も漏れてました、の巻。そもそもセキュリティコードなんて保存してはいけない情報だからね。QUOカード(500円)で済む問題じゃないからね。

[quabbin]

中国からの接続を拒否するなんてのは、セキュリティ対策ではない。

[zomy]

自分も別件で同じ被害にあった身としてはセキュリティコードの保存とか見ると本当に苛々する。保存しちゃいけないって書いてあるやつだろうに。

[terepanda]

システム改修を重ねるうちにカード情報を保存してしまう仕様バグが紛れ込んだ。2010年から放置といっても、気づいてないなら対策しようがないし...それにしても暗証番号まで保持してしまっていたというのは...(´・ω・`)

[anoncom]

何故かクレカ番号のみならずセキュリティコードまで保存しているところからよく漏れる。どんな理由でアレみんなはそういう実装しちゃダメだぞ。

[hiroomi]

"・セキュリティコード（3もしくは4桁の確認番号）"

[kuracom]

これみるとAPI型の決済モジュールがやらかした可能性もありそう http://anond.hatelabo.jp/touch/20160908012910

[s_osa]

なんでセキュリティコード保存してるの？？？

[chopapapa]

決済代行会社を使っていたのならクレカ情報を保管する意味って完全に無い筈。なんで保管してたんだろうか。それとも連絡を受けただけでその決済代行会社を使っているわけではないってことか？

[siro_xx]

ああ例のアレか、改めてお詫びメール発送したのかなって思って開いてみたらかなりアカン案件じゃないですかやだー//たとえデバッグログだろうがSQLログだろうが個人情報出力するとかないわー

[ikurii]

セキュリティコードを保持してしまってるサイトは他にもたくさんあると思う。漏れてないから問題にならないだけで。

[tarchan]

＞顧客DBSの決済ログにお客様のカード情報が内包されていることが新たに判明

[ikosin]

DB に決済ログ保存する改修が入った際にマスクが抜けてたということか。決済ログが具体的に何を指してるのかわからんけど、監査ログ的な意図だったのかな？

[yoshikidz]

これ普通に抜いた情報で決済できちゃうやん。。。w　あかんすぎる

[ikusana]

以前プリントパックでも個人情報流出をくらったのにグラフィックでもかよ。 大丈夫か？ネットプリント業界。

[harry0000]

これQUOカード受け取った時点で謝罪を受け入れてしまったことになる案件じゃないの…

[ohesotori]

システム受注した会社が気になるな。他のシステムも同じ方法でシステム構築しているかもしれない。

[rgfx]

よーしパパ詫びQuoカードでBiocardもっかい発注しちゃうゾ〜〜〜〜〜

[lyiase]

とりあえずグラフィックのシステムを作ったヤツがかなりダメなヤツだってことは分かった。

[gowithyou]

DBには暗号化してもSQLログには暗号化前の値がでてしまうというあるある事象。しかし、再発防止策が体制強化とかいう名目的な対応のみ。このような会社を利用するべきではない。

[wisboot]

さっさと3Dセキュアを採用しておけば、こんな大惨事はある程度避けられただろうに…／組織にセキュリティを理解できる人材がいないと、こういうことになる

[belka333]

1回使ったことがあり無事死亡

[tettekete37564]

“（２）情報流出の原因 中国籍サーバからの不正アクセスが原因でございます。” < それは原因じゃなくて結果だろ。バカなのか？

[houyhnhm]

不正アクセスがあった時点でほぼ終わってると思う。

[ya--mada]

買物種別でクレカ分けないとめんどくさいよ。カード利用停止申請したらケータイとかどうなるんだろうか？試してみたい。

[lifefucker]

セキュリティコード漏れたらもうそのカードは使えないなあ。5000円でも割りに合わない。

[cubed-l]

ログからか

[FTTH]

発表は丁寧だと思うけど「情報流出を確認した後も一時運用をそのまま続け、後にカード情報を削除」というのは下の下感がありますね　／　DBが持ってる情報じゃなくてログからカード番号出たの……

[DustOfHuman]

他の印刷会社は営業に走るのかな？(不謹慎)

[uturi]

カード番号とセキュリティコードと有効期限がまるっと盗まれたのか。これが揃えば買い物し放題だな。セキュリティコードを保存してたのか……

[n_y_a_n_t_a]

間違えて保存するコーディングしちゃった（テヘベロ。データベースもうっかり定義しました！　ですね、わかります。

[taruhachi]

クレカ情報入力ページって決済会社のドメインで良さそうなのに。

[fumisan]

あとで

[teruroom]

カード番号とセキュリティコードと有効期限。悪意の第三者にクレカを不正利用されてしまう条件が揃ってるな。コレは極めて重大な情報漏えい事故・事件だと思う。

[Changeoneself_Lifehack]

セキュリティコードを保持していたという事は、内部の人間も悪用可能な状態だった訳で・・・