【IT】ショッピングサイトのプログラム改ざん クレジット情報流出か [ムヒタ★]
■ このスレッドは過去ログ倉庫に格納されています
東京のIT企業が開発し、複数のショッピングサイトなどで導入されている入力フォームのプログラムが何者かに改ざんされ、少なくとも3000件以上のクレジットカードの情報が流出したおそれがあることがわかりました。
改ざんされたのは、東京 港区にあるIT企業「ショーケース」が開発し、ショッピングサイトなどで導入されている入力フォームのサービスのプログラムです。
会社によりますと、ことし7月、取引先から指摘を受け調査した結果、3種類のサービスのプログラムが外部からの不正アクセスによって改ざんされていたことがわかったということです。
これらのサービスは、さまざまなショッピングサイトなどに少なくとも5000以上導入されているということで、このうち一部のサイトで、入力された情報が外部に流出したおそれがあるとしています。
このサービスを利用していた靴の販売などを行っている「エービーシー・マート」によりますと、ことし7月24日から26日までに自社サイトで入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとしているほか、「ユーキャン」では200件、「富士フイルムイメージングシステムズ」は500件余り、それに「出光クレジット」もクレジットカード情報などが流出したおそれがあると公表しています。
「ショーケース」は、「関係者の皆様には多大なるご迷惑をおかけする事態となり、深くおわび申し上げます」などとコメントしています。
2022年10月27日 5時23分
https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html 非保持化してもフォームそのものを変えられるとアウトだから対策に困る 被害企業名を全部公表してほしい。
アマゾンを語った偽メールが毎日届くようになったのと
関係ある? >>6
多分ない。
漏洩したなら、そんなまどろっこしいことせずににお前のカード情報使う。 >>6
それはクレカ情報じゃなくメルアドが漏洩したんだよwww 個人情報をかっさらい続けるくせに
気軽に漏洩させて、
ごめんなさいでおわりにする
最初から漏洩していいや、ってかんじなんだろ
ゴミクズどもめ 富士フイルムはまだ「システムメンテナンスのため停止中」としか言って無いな >>6
この会社がコンビニ払いシステムもやってたら多少はあり得るか
メタップスペイメントがそうだった 日本のeコマースはなぜドメスティックな決済スキームを使いたがるのか
素直にAmazon PayとかPayPalとかにしとけばいいのに なんでセキュリティコード保存してんの?
馬鹿なの? >>17
raypalはエロ排除してるからダメだな >>19
入力フォームの内容抜かれてるんだから、保存してるとかそういう話じゃないぞ。 >>3
フォームなんだから保存する以前の問題じゃね >>23
馬鹿は黙っとけ
サイト改変されてるのにWAFが何の役に立つんだよ ここまで指摘してるやつ的外れの馬鹿しか居ないの草
素人の知ったか恥ずかしい そもそも今時なんでプログラムの改竄なんてされるんだよ
セキュリティガバガバ過ぎるだろ 記事そのままだとサーバに侵入されてスクリプト自体を書き換えられていたように読み取れるね。 企業サイトを見てきたら
クラウド、顔認証サービスとか手広くやっているみたいで。
私にはどれとどれが関連しているかもわからないけど
デジタル社会推進に影響は大きそう。 いい加減クレカのセキュリティを抜本的に変えろよ
盗んだ番号だけでショッピング出来るとかザルすぎ >>34
PayPal使うなり回避法はあるのに使わないんだから仕方ない ネットでもamazon payかpaypayのQRコードに対応してほしいわ
そうすればクレカ情報は伝わらないだろうからな
板クレカの変更とかめんどくさいぞ
なんせ受け取りが必要だから >>37
今の所PayPalとd払いでネット決済は間に合ってるわ >>3
逆に問いたいんだけど
「モールス信号で氏名と生年月日を入力してください」って要請されたらお前さん対応できんの? Revolutでサイト毎にバーチャルカードを作ってそれを登録してるわ
全部同じカード使ってるとこういう時変えるの面倒だからな
Revolutはバーチャルカード毎に月の上限も設定できるしまー便利
デビットカードだけど >>1
さすが東南アジア以下のIT後進国だぜ
ここまでザルなのは海外ではもうほとんど見ないからな プログラムが外部から改ざんというのがよくわからない
GITサービスのパスワードが漏れたとそういう系? 手口を公開したら模倣犯が出るから詳細は書けんのかもしれんが何をどうしてプログラムを書き換えたか分からんな >>42
Web サーバーの脆弱性を利用してサーバーのスクリプトファイルを書き換えたって言うのがありがちなんだけど今時インターネットに公開するサーバーでそんなアホな管理してる奴がいるとは思いたくない JavaScriptで作った入力フォームは
フィールドに入力した文字列をそのフィールドから別のフィールドにフォーカスを変えるタイミングで、裏でサーバーに送信できる
送信ボタンを押すときは正規のサーバーに情報を送る一方で、フィールドのフォーカスを変えるたびに犯罪者グループのサーバーに情報を送るプログラムでしょ
WEBエンジニアなら誰でも書けると思うが >>34
商業施設でカード払いする人らは気をつけなきゃな
抜かれちゃうのよな
セキュリティ無いも同然みたい フィッシングサイトに騙されないよう
よく使うショッピングサイトはブックマークして
必ずそこからログインしましょう
↓
本サイトがそのままフィッシングサイトに >>6
マイ糞ソフトのメールな
迷惑メールに放り込んどけよ
そのうちマイ糞ソフトが対策するだろ 昔いた会社のphpのコードで、ユーザーが送信したフォームの内容を同じディレクトリ内に平文のテキストで全部保存してたのがあったな、Apacheのドキュメントルート以下で割とヤバかった
ペチパーの皆さんは使ってるWebサーバーの挙動もちゃんと勉強してくださいねw ある通販サイトだけに使ったメアドなのに
アマゾンと楽天から決済できませんでしたってメールが届くの(´・ω・`)フロームロシア やばいユーキャンの通信教育講座でクレカ払いしてるわ
9時になったらカード会社に問い合わせしとこ >>34
ネットショッピングは全て3Dセキュア対応にしたらいいんじゃないの?それでは解決にならない? >>45
自宅のパソ等にカードリーダーを付けてスマホのタッチ決済する分には
スマホにある仮想カードは端末紐付けの別番号で処理してるので番号抜かれても悪さは出来ないのだが
そもそも楽天Edyですら対応してるサイトが少ないもんなあ 知ったかがドヤって撃沈しただけだろ
よくある話だからいつまでも引きずるなよ 昔にちゃんでカード情報流出してたうちの近所の家いって教えてあげようか迷ったわ。人形屋、上は賃貸マンション。 楽天カードみたいに使ったら速報くるカードって他に何かないのかね ■ このスレッドは過去ログ倉庫に格納されています