美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト(WebShell)が設置され、サーバ内を不正操作されたこと。 2020年12月24日~2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還 いわゆる“スキマバイト”募集プラットフォームを手掛けるネクストレベル社(大阪市)は5月24日、不正アクセスにより個人情報など50万件近くが漏えいした可能性があると発表した。なお事態の発覚後、「情報を転得した」と自称する人物から連絡があり、警察官立ち合いの下、情報を含むUSBメモリを受け取ったという。 漏えいした可能性がある情報は、プラットフォームに登録している個人ユーザーのID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴や勤務条件、資格、緊急連絡先、同サービス上に登録されている身分証明書の写真にアクセスするためのURLなど49万6119件。 このうち、身分証明書の写真にアクセスするためのURLは変更済みという。情報の中にマイナンバーは含ま
スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ(大阪府岸和田市)は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。 漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。 該当する利用者には5月14日から個別にメールで連絡する。同社
【セキュリティ ニュース】「mixi」にPWリスト攻撃 - 2月から3月にかけて発生(1ページ目 / 全1ページ):Security NEXT
MIXIは、同社が運営するソーシャルネットワーキングサービス「mixi」が2月から3月にかけてパスワードリスト攻撃を受けたことを明らかにした。複数サービスでパスワードを使いまわしている場合は、すぐに変更するよう呼びかけている。 同社によれば、2月15日から3月16日にかけて、第三者が利用者本人になりすましてログインする不正アクセスが行われたという。 原因は、同社以外から入手したメールアドレスとパスワードを使用し、ログインを試みるパスワードリスト攻撃であるとの見方を示した。 不正ログインされた場合、サービスへ登録している氏名、性別、生年月日、メールアドレスなどの個人情報を第三者に閲覧された可能性がある。 同社では、対象アカウントを一時停止したり、パスワードリセットを行うなど対策を実施。対象アカウントのユーザーにメールで通知した。複数サービスで同じメールアドレスとパスワードを使いまわしている場
複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード - 記事詳細|Infoseekニュース
複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード マイナビニュース / 2024年5月6日 19時43分 Microsoftは5月1日(米国時間)、「“Dirty stream” attack: Discovering and mitigating a common vulnerability pattern in Android apps|Microsoft Security Blog」において、人気がある複数のAndroidアプリからパストラバーサルの脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、標的のアプリ内のファイルを窃取または上書きされる可能性がある。 ○ダーティーストリーム攻撃の概要 Androidではアプリごとに専用のデータ領域が割り当てられ、アプリ間のやり取りはコンテンツプロバイダー(ContentProvider)と呼ば
東急は5月9日、同社のネットワークが第三者による不正アクセスを受けたと発表した。同社の連結子会社である東光食品(東急ストア子会社)のファイルサーバなどのデータが不正に読み出されたという。 第三者による不正アクセスを確認したのは4月28日で、顧客の個人情報が含まれている可能性が高いという。なお、東急は漏えいした可能性のある顧客情報の詳細については明かしておらず、現在外部の専門機関などと連携して詳細を調査している。 東急は不正アクセスを認識後、個人情報保護委員会への報告と外部からのアクセス制限などの対策を実施済みとし、「該当の方々や関係する方々に多大なるご心配とご迷惑をおかけすることを、深くおわび申し上げます」とコメントしている。 関連記事 改札にクレカかざして乗車、ほぼ全ての東急線で15日から 事前のチケット購入不要に 東急電鉄はタッチ決済に対応したクレジットカードなどを使用した後払い乗車サ
1.概要 埼玉県教育委員会が、県立学校の生徒及び教職員への健康診断実施のため、胸部及び胃部レントゲン検診業務を委託している公益財団法人埼玉県健康づくり事業団のX 線画像読影システムが、ランサムウェアによる不正アクセス攻撃(身代金要求型サイバー攻撃)を受け、同事業団が令和6 年1 月31 日に公表した件について、同事業団から次のとおり調査結果の報告がありました。 2.調査結果報告 埼玉県教育委員会の委託業務によりシステムに保存されていた個人情報を含むデータについて、窃取と漏えいの痕跡は確認されなかったが、RDP(リモートデスクトッププロトコル)を使用してもデータの転送ができることなどから、データ窃取の有無を完全に断定することはできない。 対象となる個人情報は、平成29年度から令和5年度に学校の健康診断で実施された胸部レントゲン検診を受診した県立学校生徒(261,996名)のX線画像及び氏名(
【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出(1ページ目 / 全2ページ):Security NEXT
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス
約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店
東急、ネットワークに不正アクセス 子会社の顧客情報が漏えいの可能性
健康診断業務委託先事業者への不正アクセスに係る調査結果について