セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
mixi のソースコードが流出 - Ceekz Logs (Move to y.ceek.jp)
9日の mixi の障害で、ソースコードが流出したようです。確認できたのは、以下のファイル。 add_diary.pl check.pl home.pl list_diary.pl list_message.pl show_friend.pl view_bbs.pl view_news.pl 流出した経緯ですが、通常のようにページにアクセスしたらソースが表示されたらしいです。毎回ソースが表示されたわけでもないようなので、ロードバランサにつながっているサーバの一部の設定が狂ったのかな。 mixi のソースを見てみたのですが、結構ハードコーディングが多いですね。人のことを言えませんが… ソースコードが流出したからといって、直ちにセキュリティーホールとなることは無いと思いますが、流出した「事実」が重要だと思っています。「個人情報が漏れたかも…」「システム管理が甘いかも…」という疑念につながるわけ
情報漏洩防止 - ITNAVI.net
2004年に入ってから大規模な個人情報漏洩事件が起こっている。 情報資産がある限りこれからも情報漏洩は起こり続けるだろう。Webサーバの単なる設定ミスによるものから、人為的に持ち出されたものや、ウィルスやワームの感染によるもの、ノートパソコンの紛失・盗難によるものなど、様々な流出経路により事件が発生している。 起こりうる情報漏洩から情報資産を守るためには、まずはリスクアセスメント、つまりリスクを評価することから始めたい。リスクを洗い出し、リスクの大きさを決定する。リスクの大きさによって、取るべき対策を考える。そして、コストを算出しながら情報資産に見合った対策を決定していく。 よく考えてみれば、機密性の高い情報から限りなく公開に近い情報まで、全ての情報を均一にしかも高いレベルで取り扱う必要はないのである。 なぜ大規模な情報漏洩事件が起こるのか。それは、今までは性善説に基づいて対策を考えられて
個人情報漏洩事件一覧
自分の個人情報が漏えい・流出被害の対象でないことを確認するためのサイトです。 ISO27001(情報セキュリティISMS)、JISQ15001(プライバシーマーク)取得企業は、他の企業の対応事例を参考にして下さい。 自らの非を認め、公表してくれる企業は、信頼できる企業ということがいえます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自宅での開発 - 談話室 - Visual Studio User Group
サービス終了のお知らせ
http://webcache.googleusercontent.com/search?q=cache:ES3xMJ6Uc6wJ:builder.japan.zdnet.com/tool/20411591/+&cd=7&hl=ja&ct=clnk&gl=jp
【危機管理】退職者の社外秘情報の持ち出し深刻化--人材流動化に沿った情報管理が急務 [03/09] | ログ速@2ちゃんねる(net)
MSN Japan - ニュース, 天気, メール (Outlook, Hotmail), Bing検索, Skype
【事件】インターネットショップ『セブンネットショッピング』で大規模な情報漏えい「注文していない本が届いた」という人も出現★2
退職した従業員の59%|セキュリティ・マネジメント|トピックス|Computerworld
http://deztec.jp/x/10/faireal/d40222.xml
情報漏洩:セキュリティ通信:So-netブログ
セキュリティ、個人情報の最新ニュース:Security NEXT