【セキュリティ】ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で [ムヒタ★]
■ このスレッドは過去ログ倉庫に格納されています
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。
不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。
攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。
流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無、ニトリメンバーズの保有ポイント数、一部が目隠しされたクレジットカード番号、有効期限。
なお、クレジットカード決済に必要な情報はシステム上で保持しておらず、今回の不正ログインでカード決済が実行されることはないとしている。
ニトリでは、不正ログインされた可能性があるユーザーのアカウントに対し、順次パスワードのリセットを実施。パスワードを再設定する場合は、他のサービスで利用しているパスワードを使い回さないように案内している。
併せて、新規の不正ログインを防止するために、セキュリティ機器を強化する他、さらなる強化策を検討するという。
2022年09月21日 23時50分
https://www.itmedia.co.jp/news/articles/2209/21/news213.html >>1
> 流出した可能性のある個人情報は、...、パスワード
まさかと思うがパスワードを平文もしくは可逆可能な形で保存してたのか?
そうなら流石にバカすぎるだろ... どうせお前らGoogleアカウントのIDとPWを使い回してんだろ?
一旦漏れたら止まらないよ >>1
セキュリティーもお値段程度なら笑える・・・ 企業のセキリティが突破されるのだから
個人PCのセキリティなど気休め程度だよね? メイン使用のメアドは3-5年ごとに変えるといい
どうせ無料で作れるのだから MS以外のセキリティに入っているがネット決済はしない
メールも必要なもの以外は開かない。PCに大切な情報も保管しない
最初からセキリティは要らない気がするw >>4
全サイトで100%別のパスワード使ってるよ
IDもメールアドレス10種類くらい利用して、必要に応じてメインのメールアドレスに転送するようにしてる クレカ情報の一部が盗まれた事に大事感出してるけど
氏名やら住所やら電話番号等々、がっつり盗まれすぎじゃね? 普通にアクセス出来ても不正アクセスって事にすれば良いよね。 リスト型攻撃で流出って
被害者側には責任ないのに報道されるとかわいそうよね このスレでも勘違いするしてるのがいるが
ニトリは正しいIDとパスワードを入力されたからログインさせただけだ
それがリスト型攻撃 >>17
ログインしたら全部見られるのが普通じゃね? 心配になって確認したら名前と電話以外適当だったw
配送とかしてもらわないからな >>22
なるほど
それじゃ不正アクセスじゃないじゃない 同じ商品で価格が同じでも送料無料で届けてくれるヨドバシ >>20
自分とこに一致するアカウントでログイン成功したのはしょうがないにしても、
大量のアカウントで接続確認されまくってるわけだろ?
そういう不正ログインを監視する仕組みって作っとかないの? >>25
他人のIDパス使ってログインして買い物とかして逮捕されてるのたまにいるやん >>1
これニトリの報告書見たけど、自分とこにクレジットカード番号は保存していないとか言いながら、番号の一部(下4桁とか?)は漏れた可能性有りなんだよな
何がご安心くださいだ、ふざけんな ニトリのアプリは立ち上げるたびにパスワードを要求してくるから
俺もそのうち共通パスワードにしようかと考えてたとこだわw
たいしたダメージ無いとこは手抜きパスワードにしようとしてたんだが
やっぱり止めとこうかな パスワード使い回すとか恐ろしいことしてる人結構おるよね パスワード無効再設定お願いのメール来てなかったからうちはセーフみたいだ >>27
まあそれはおっしゃるとおりです
同一IPの試行制限くらいはしておくべきだけど、まあやった上で裏をかかれた可能性もある
どちらにしてもニュースの文面記事から一般が受ける印象とはかなり違う (´・ω・`)ニトリにアカウント持ってたか思い出せない。 >>41
(´・ω・`)1年くらいまえからきてる。。 こういうとこなんだよな、アマゾン以外使いたくないのは ニトリからも「アカウントを停止しました」のメールが毎日来るのか。。。
毎日ログインして苦情メールするの面倒だお。。。lω`)))) こういうのあるから3流企業のアカウント作るのイヤなんだよな こういうの見るとパスワードだけじゃなくてIDも使い回しちゃ行けないような気がする。IDにメアドとかもっての他 >>39
自分の管理サーバで一回食らったけど100個以上のIP使ってたね
地域もバラバラ
一つのIPが一時間以上開くから発覚まで時間がかかった ニトリって確かお漏らし2回目だろ?
前にやられてたからと思ってその後登録して無いんだよなぁ ニトリって確かお漏らし2回目だろ?
前にやられてたからと思ってその後登録して無いんだよなぁ だからリスト型攻撃は、一般が想像する漏洩とは違うんだって あーあ強盗捗っちゃった
ちゃんとセキュリティ対策してたのか? 多要素も異常な認証要求アタックという嫌がらせあるからな 合鍵を渡してた元カレに鍵を横流しされて
泥棒に入られた責任が、ドア鍵屋さんがどの程度追うべきか?って感じか ■ このスレッドは過去ログ倉庫に格納されています