Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
米Okta(オクタ)は2023年11月28日(米国時間)、同社のカスタマーサポート管理システムが9月から10月に受けた不正アクセスについて情報を更新した。当初は全体の1%未満のユーザー企業の情報が漏洩したとしていたが、今回、一部を除くほとんどのユーザー企業の情報が漏洩したことを確認したと発表した。 攻撃者は、オクタのIDaaS(アイデンティティー・アズ・ア・サービス)製品である「Workforce Identity Cloud」と「Customer Identity Solution」においてユーザー企業向けに提供しているカスタマーサポート管理システム「Okta Help Center」に不正アクセスした。Okta Help Centerは、主にユーザー企業のシステム管理者が使用するものだ。 攻撃者はシステムが備えるリポート機能を使って、オクタの顧客データを盗み出した。盗み出されたデータに
なぜ普及?懸念の声は?“インド版マイナンバー”とは | NHK | ビジネス特集
14億を超える人たちが暮らすインド。その国民の9割以上が登録しているのが、12桁の個人識別番号システムです。いわば“インド版マイナンバー”とも呼べるこの制度の普及を受けて、インドではさまざまなITサービスが広がったと言われています。ほかの新興国も参考にし始めているというこのシステム。どのような制度なのか?懸念の声は出なかったのか?現地で取材しました。(アジア総局 チーフプロデューサー 内田敢/記者 影圭太) 客はスマートフォンをかざして自分の銀行口座から直接、店側に支払う仕組みで、この数年で普及が急速に進んだと言います。 こうした決済サービスの土台になっているのが、すべての国民が個人IDを持つことができる「アーダール」というシステムです。 “インド版マイナンバー”とも呼べるこの制度、一人ひとりに12桁の番号が割りふられ、名前や住所、生年月日、性別が登録されます。 また、顔写真や、指紋、目の
メタップスペイメントの情報流出についてまとめてみた - piyolog
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び : 市況かぶ全力2階建
自社株を担保に借金しているENECHANGE(エネチェンジ)筆頭株主兼社長の城口洋平さん、粉飾決算疑惑による株価下落で追証を喰らい保有株の一部が強制決済される
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について
(2022年9月26日追記) 本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。 この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流
auじぶん銀行のフィッシングSMSが届いた
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると… 詐欺サイトの警告が出ていますが、構わずに開いてみると… きたきたきたー。これですよ。auじぶん銀行のフィッシング(SMSの場合はスミッシングと言いますが)サイトのようですよー。「閉じる」をタップすると… うーむ、これがauじぶん銀行の本物のフィッシングサイトですよ。これかー。僕が作った偽サイトよりもきちんと作ってありますねー(笑い)。ちなみに、本物のauじぶん銀行サイトはこちら。 よく似ていますね。お客様番号とログインパスワードの欄は共通ですが、偽物の方は暗
ITPのCNAMEクッキー規制について|AD EBiS マーテック研究会
ご無沙汰しております。11月6日に、CNAMEレコードを使って付与された1st-party cookieの規制機能を搭載したiOS14.2がリリースされましたので、その内容をまとめます。いつものことですがマーケティングよりブラウザの細かい話です。正式発表前なので誤りの可能性がありますがご了承またはご指摘ください。 規制の仕組みまず規制されるのは、AppleのWebKitエンジニアJohn Wilanderさん(ITPの発明家)が「Third-party CNAME cloaking」として定義するものです。 Third-party CNAME cloaking means a first-party subdomain resolves to a third-party domain which does not match the resolution for the top frame
牧歌的 Cookie の終焉 | blog.jxck.io
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
Twitter、「亡くなった人のアカウントを保護する機能を追加するまで休眠アカウントは削除しない」とツイート
米Twitterは11月27日(現地時間)、亡くなった人のアカウントを追悼する方法を提供できるようになるまで、休眠アカウント削除は実施しないと約束した。前日の休眠アカウントが削除されるという報道に対し、大きな反響があったことを受けたもの。Twitter Supportアカウントによる連投ツイートで説明した。 Twitterが、アクティブではないアカウントの所有者に対し、12月11日までにログインしないとアカウントを削除するという警告メールを送っていると、複数のメディアが26日に報じた。これでは故人のアカウントも削除されてしまうと、Twitter上で多数の抗議ツイートが投稿された。 現行のポリシーでは、亡くなった人のアカウントについて、関係者が削除を依頼することはできても保存はできないようになっている。 米Facebookには2009年から故人のアカウントを保護する方法がある。親族や友人が必
ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog
2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。 問題の発見者 Justin氏の報告 Honda Motor Company leaks database with 134 million rows of employee computer data https://t.co/IN9IESN0Ae— Justin (@xxdesmus) 2019年7月31日 Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。 何が問題であったか 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネ
Rebuild: 241: Pro Grave XDR (hak)
Hakuro Matsuda さんをゲストに迎えて、WWDC, チップ、E3, ゲーム、Netflix、SF などについて話しました。 Show Notes WWDC19 Apple debuts For All Mankind trailer, coming to Apple TV Plus NASA addresses Trump’s bizarre Moon tweet Apple puts accessibility features front and center Apple CEO Tim Cook on iOS 13's Sign In with Apple Sign In with Apple | Apple Developer Documentation macOS Catalina About the upcoming changes with iTunes on M
「Sign In with Apple」、サードパーティーログイン採用の全アプリに義務化へ
Appleは、新しいログインシステム「Sign In with Apple」への対応を、ほかのサードパーティーログインシステムを採用しているすべてのアプリに義務づける計画だ。 App Storeのレビューガイドラインの更新を説明したページによると、サードパーティー(GoogleやFacebook、Twitterなど)のログインシステムを利用しているアプリは、2019年内にSign In with Appleが正式に提供される際、同機能をユーザーが選択できるようにすることが求められる。Sign In with Appleは夏にベータ版が提供される予定だ。 このようにSign In with Appleを開発者に押しつけるやり方は、強引に感じられるかもしれない。ただしAppleは、プライバシーを念頭にこの新しいログインの仕組みを設計した。 Appleによると、Sign In with Appl
NetflixやGoogleアカウントまで共有--個人情報を“渡す”10代
ある高校生がこんな言葉をつぶやくのを聞いた。「友だちのアカウントが何だかおかしかったから、『誰かとアカウント共有してるのかな』と思った」。この発言に驚く大人は多いだろうが、若者の間では特に問題とされない。 若者の間では、様々なアカウント共有が一般化しつつあるためだ。若者たちの間におけるアカウント共有の実態と危険性についてご紹介したい。 Netflixはアカウント共有で格安で楽しむ 「Netflixのアカウント共有しない?」。Twitterではそのような投稿は少なくない。大学生の間で、友だちを集めてアカウントを共有する学生が増えているのだ。 2017年のロイター/イソプス調査によると、定額動画配信サービス利用中の18〜24歳の21%が、同居家族以外のユーザーのログイン情報でNetflixやHuluなどにログインしたことがあるという。もちろん別居している家族のアカウント情報でログインしたユーザ
利用者のデータ無断共有 フェイスブックと人気アプリ - 日本経済新聞
【シリコンバレー=白石武志】音楽配信や求人検索などのスマートフォン(スマホ)アプリが、利用者に無断で一部のデータを米フェイスブック側に送信していることが英プライバシー保護団体の調べで分かった。欧州連合(EU)の一般データ保護規則(GDPR)では個人データの取得などで利用者の同意を得るよう企業に求めており、同規則に抵触する恐れがあると指摘している消費者保護を目的に活動する英団体のプライバシー・イ
「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS
米Googleが9月4日(現地時間)にアップデートしたWebブラウザ「Chrome 69」から、新機能としての告知なしに変更されたある機能が、一部のユーザーが問題視したことで明らかになった。 Chromeブラウザで「Gmail」や「Google Keep」などのGoogleのサービスにログインすると、自動的にChromeにもログインするようになったのだ。 従来は、Chromeへのログインとその他のGoogleサービスのログインは独立していたが、Chrome 69からは同時にログインすることしかできず、Chromeでログアウトすると、Gmailなどからもログアウトする。 この新機能のどこが問題なのかを、ジョン・ホプキンズ大学のマシュー・グリーン教授が23日、分かりやすく解説した。それを参考に、問題を整理してみる。 Chromeには以下の4つの「モード」がある。 基本ブラウザモード:ログインせ
iOS 10.3 から、アンインストールすると Keychain が削除される → されませんでした - star__hoshi's diary
顛末 iOS 10.3 beta でアンインストールすると keychain が削除される問題が発見される これはバグか?という議論がなされる中、 Apple スタッフから 「これは仕様だ」とコメントが入る しかし iOS 10.3 beta7 でアンインストールしても keychain から消えない、元の仕様に戻った iOS 10.3 Public でもアンインストールしても keychain は消えない ← イマココ! 以下 keychain 削除について nextstep.fm by nextstep.fm on iTunes で iOS 10.3 について話されていて、どうやらアプリをアンインストールすると Keychain が削除されるらしい。 これはバグでそうなっている可能性もあるらしく、修正されるかもしれない。 → 仕様とのこと。 → iOS 10.3 beta7 からアンイ
高木浩光@自宅の日記 - 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険
■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険 「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。 一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。 これが、一昨年、白アイコンの新版「
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マイナンバーとマイナンバーカードの歴史 似て非なる2つの仕組みを理解する
本当にあった怖い脆弱性の話
