スマレジの外部アプリから13万件以上の個人情報流出、8社に影響
セキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は、SNSで話題になっていたスマレジとエフエム東京に関わる情報流出と、OCRサービスを提供するローレルバンクマシンの不正アクセス被害について取り上げる。 スマレジの外部アプリからデータ流出、8社が被害 クラウド型のPOSレジサービスを提供するスマレジは2026年1月13日、同社が提供する外部アプリに起因した会員データ流出の調査結果を公開した。 同社は2026年1月8日、SNSに「サイバー攻撃を受け、個人情報が流出した」との書き込みが広がったことを受け、同社が運営するサーバーへの不正アクセスやシステムからの情報流出は確認されていないと説明した。一方で、外部アプリに起因した同社の会員データ流出を認めていた。 流出したデータは、スマレジ・アプリマーケット上で提供されていた外部アプリ
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
三井住友カード、はがき表面にクレカ番号を誤印字 29万件超を郵送 原因は顧客情報システムの確認ミス
三井住友カードは5月16日、同社クレジットカードの所有者に郵送したダイレクトメール(DM)に、クレジットカード番号を誤って印字したと発表した。DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字していたという。対象のDMの件数は29万771件に及ぶ。 DMを発送したのは4月18日と20日。本来、DMの宛先部には客の照会番号を印字すべきだったが、誤ってカード番号を印字した。カードの有効期限やセキュリティコードなどの情報は一切記載していないとしている。 DMの郵送先は「AOYAMA VISAカード」「AOYAMA PiTaPaカード(VISA)」「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD(VISA)」のカード所有者の住所という。 印字ミスの原因について同社は「DMを送る際、住所や氏名、客の照会番号などの顧客情報を基幹システムから抜き出し、D
Slack security update
Search everything. Find anything. Say hello to enterprise search.
フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog
2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを利用する企業のWebサイトを通じて入力された情報が外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。 フォーム入力支援やサイト最適化サービス改ざんで複数社に影響波及 www.showcase-tv.com 不正アクセスによりショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。 被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つ。フォームの入力支援やサイト表示最適化を行うサービスで利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する。 改ざん被害
個人情報漏洩に関するFAQ | 資格取得ならユーキャン
この度はお客様へ多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 本件の対象となるお客様には、2022年10月26日に弊社より電子メールをお送りしております。 ただし、電子メールをお届けできなかったお客様には、2022年10月27日に速達にて書状を発送いたします。 Qクレジットカード情報漏洩の可能性がある対象期間はいつですか? A2022年7月24日~2022年7月26日の期間、弊社が運営する「生涯学習のユーキャン」サイトにて受講申込み時にクレジットカード情報を入力されたお客様が対象です。ただし、「[案内資料をお持ちの方専用]受講お申込みページ」からお申込みの方は対象外です。 クレジットカード情報が漏洩した可能性のあるお客様には、2022年10月26日に弊社より電子メールをお送りしております。 ただし、電子メールをお届けできなかったお客様には、2022年
不正アクセスに関するお知らせとお詫び - 株式会社ショーケース
このたび、当社が提供する「フォームアシスト」、「サイト・パーソナライザ」、及び「スマートフォン・コンバータ」(以下、「対象サービス」といいます。)におきまして、第三者による不正アクセスにより、ソースコードの書き換えがなされ(以下、「本件事象」といいます。)、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。 当社のサービスをご利用されているお取引先様をはじめ、ご関係者の皆様には多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。 なお、本件事象により情報が流出した可能性のあるお取引先様には、すでに、個別に連絡を差し上げております。 今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、本件事象の概要及び当社の対応につきまして、下記のとおりご報告いたします。 記 1.
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
メタップスペイメントの情報流出についてまとめてみた - piyolog
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか?」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。 メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。 今回の不正アクセ
LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
り on Twitter: "マイナビから送られてきたメールの題名が大東亜以下って露骨に学歴フィルターかかってて草 大事故だろこれ https://t.co/4C6JMYSvb9"
マイナビから送られてきたメールの題名が大東亜以下って露骨に学歴フィルターかかってて草 大事故だろこれ https://t.co/4C6JMYSvb9
1週間で数百万回もダウンロードされる人気JavaScriptライブラリが乗っ取られる、Windowsデバイスはパスワード盗難の恐れも
パッケージ管理ツールのnpmで公開されている「UAParser.js」は、ユーザーエージェントの判定処理を実行するJavaScriptライブラリであり、Facebook・Microsoft・Amazon・Googleなどの超大手企業を含む1000以上のプロジェクトで採用されています。そんなUAParser.jsがハッカーによってハイジャックされ、LinuxおよびWindowsデバイスを対象に暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたことが判明しました。 Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0) - Questions about deprecated npm package ua-parser-js · Issue #536 · faisalman/u
「年金振込通知書」約97万件に別人の情報記載 事業者のミス | NHKニュース
今月、年金受給者に送られた「年金振込通知書」のうち、およそ97万件に、本人とは別の人の振込額や年金番号が誤って記載されていたことがわかりました。日本年金機構によりますと印刷を請け負った事業者のミスだったということで、7日から問い合わせを受け付けることにしています。 「年金振込通知書」は、年金の振込額が変わる年金受給者を対象に送られているもので、日本年金機構によりますと、4日と5日送付した通知書のうち、愛知県、三重県、福岡県に送られたおよそ97万2000件に誤りがあったということです。 具体的には、振込額のほか、年金番号や振込先の金融機関名などを記載している欄に、本人とは別の人の情報が印刷されていました。 年金機構によりますと、通知書の印刷を請け負った事業者のミスで、宛名が記載された表面と振込内容が記載された裏面で、違う人の情報を印刷していたということです。 年金機構では誤った印刷内容には名
fastlyのCDNで発生したシステム障害についてまとめてみた - piyolog
2021年6月8日、fastlyのCDNサービスで障害が発生し、国内外複数のWebサイトやサービスに接続できないなどといった事象が発生しました。ここでは関連する情報をまとめます。 原因はソフトウェアの潜在的な不具合 fastlyより6月8日付で今回の障害の顛末が公開されている。 www.fastly.com 障害原因はソフトウェアの潜在的な不具合で特定状況下かつ顧客構成で発生する可能性があった。このソフトウェアは5月12日に展開が開始されていた。 6月8日早くにこの不具合を発生条件を満たす構成変更が顧客によって行われネットワークの85%がエラーを返す事態が発生した。サイバー攻撃の可能性は否定と報じられている。*1 障害は発生から1分後にfastlyに検知され、49分以内にネットワークの95%が復旧した。 今回の障害を受け、短期的には修正プログラムの早期適用、復旧時間の短縮、テスト時に不具合
より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
1.はじめに 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステ
当社管理サーバーのアクセス履歴について - PayPayからのお知らせ
追記: アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。 詳細は下記をご確認ください。 管理サーバーへのアクセス履歴の調査結果について(2021年5月7日) https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。 <アクセスされた可能性のある情報> (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
JALの飛行機で、エンジンカバーが吹っ飛ぶトラブル発生→乗機した人たち「まじで死を覚悟した」機長の冷静な対応には「かっけー」
ライブドアニュース @livedoornews 【那覇空港】JAL機が緊急着陸、左側エンジンに不具合か news.livedoor.com/article/detail… 4日午後0時20分ごろ、羽田行きの日本航空904便が、那覇空港に引き返し緊急着陸した。けが人は確認されていないという。 pic.twitter.com/PvTbdGksOG 2020-12-04 14:22:31 リンク 朝日新聞デジタル JAL機が緊急着陸 左側エンジンに不具合か 那覇空港:朝日新聞デジタル 日本航空によると、4日午後0時20分ごろ、那覇発羽田行きの日本航空(JAL)904便が、エンジントラブルのために那覇空港に引き返し、緊急着陸した。国土交通省那覇空港事務所によると、けが人は確認されて… 4 users 112
ソースコード上にメールアドレスが認識される状態にある不具合についてのお詫び – Booklog
ブクログサービスご利用者 様 いつもブクログサービスをご利用いただきまして、誠にありがとうございます。 この度、ブクログサービスにおいて、ソースコード上にメールアドレスが認識される状態にあるとのご 指摘を受け、事実関係を調査いたしましたところ、各ご利用者様の本棚ページのソースコード上にご利 用者様ご本人のメールアドレスが表示されている事実を確認いたしました。 本棚を公開されているご利用者様におかれましては、不特定な人物にメールアドレスを見られてしまう 可能性があり、直ちにメールアドレスが記載されている個所を削除いたしました。 皆様には、大変なご迷惑とご心配をおかけしましたこと、深くお詫び申し上げます。 現在のところ、本件によるメールアドレスの流出や被害は報告されておりません。 このような事態を招いたことを重く受け止め、個人情報の取り扱いには厳重に注意するとともに、今 後、このような事態を起
IPアドレスが表示されてしまった自分の記事のGoogleのキャッシュ削除依頼を出す方法|okash1n
noteサービスにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまう不具合が存在していました。 なお、一般的なIPアドレスから、個人情報を特定することはできません。 現在は、該当部分を修正し問題なくご利用いただける状態です上記のように運営からはアナウンスが出ておりますが、GoogleはWebサイトのキャッシュを定期的に保存しており、今現在もnote運営による修正作業前の記事ページのソースが保存されており、問題となっているIPアドレスは2020/8/14 18:52 現在でも表示が可能です。 上の画像のように誰でも修正前の状態のソースを表示可能です。(被害拡大を防ぐ為詳細は省きます) 私自身の記事のキャッシュから私の自宅のIPアドレスが現在も表示されることを確認しています。 また、私もいくつかの記事を確認しただけで、公式からアナウンスも出ていないので定かではあ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
