パスワードを忘れた? アカウント作成
14254553 story
情報漏洩

ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い 7

ストーリー by nagazou
使っている方は連絡来ていないか確認を 部門より
あるAnonymous Coward 曰く、

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ(リリース[PDF]ScanNetSecurity)。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。

  • by Anonymous Coward on 2020年07月31日 13時33分 (#3862330)

    元記事のニュースサイトを見るかぎり、毎日とは言わんが
    しょっちゅう起こってるありふれた話にしか見えないんだが……。

    新しい話でもない、人数もわずか、手法も平凡、
    「ショップチャンネル」って通販番組がなんかアレゲな番組なのかな?

    ここに返信
    • by Anonymous Coward

      >「ショップチャンネル」って通販番組がなんかアレゲな番組なのかな?
      アレゲ性が低いからこそ
      「ほら、未だにTVで通販なんかやっている奴らだぞ。叩きやすいダロ」
      って事なのかもね。

      • by Anonymous Coward

        えー、視聴率取れなそうな時間帯だとBS/CSみんな通販番組だよ
        売れない芸能人だとかが白々しくわーきゃーやってるからもう見てらんない

        地上波こっちに入れればまるまる空くのにとか
        むりくり空けてむりくりマルチメディア放送(w)してもまるまるコケてるし、とか
        いろいろ思考回路が瞑想するのです
        一切しがらみなくアサインしたら理想形態はどうなるんだろうね

  • by Anonymous Coward on 2020年08月02日 1時26分 (#3863151)

    パスワードリセットにメアドだけでなく氏名が必要な時点で察した

    ここに返信
    • by Anonymous Coward

      なにを察したのかわからなかったが、秘密の質問よりはマシじゃないかと。

      # 文章的にメアドと氏名だけでリセットできてしまう ということの指摘でもないらしいし。
      # もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。

      • by Anonymous Coward

        ># もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。

        良いだろうと思います
        パスワードリセットしたところで
        パスワード再設定用のリンクは結局そのメアドに送られるわけです
        だとしたら結局そのメールは本人しか受け取れない前提です
        ですので結局パスワードリセットもメアドだけで良いはずです

        なので、私もなにを察したのかわかりません。
        そもそもパスワードリセットにメアドだけでなく氏名が必要ということですが
        それ自体ソースがないので事実かどうかわからないのですが。

        • by Anonymous Coward

          キャリアメールアドレスなどは変えられるけど一定期間後に他人が取得することもできるので、
          私はこういうたまにしかつかわれないサービスの場合にもう一つ情報を求められること自体は否定はしないです。
          キャリアメールアドレスが唯一のメールアドレスという人は少なくない(うちの親などはそうです)とも思います。

          攻撃者側視点だと、そのメールアドレスが使われてたこと、そのサービスが使われてたことまで知っていないといけないですが、迷惑メール送信してエラーが帰って来るようになったらそういう攻撃に切り替える集団もいるのでは・・・などと妄想してみたり。
          利用側視点では(悪意なく)重複した場合に登録済みと言われ登録していたかと思ってリセットしたら前の人の情報が出るというのも。

          まぁ、最近キャリアメールアドレス変更する人ややめる人がどれほどいるのかわからないですが。(だから必須だとまでは言わないですけどね)
          一時期は迷惑メール回避の為に変更しましたって送って来る人は結構いましたけど。

typodupeerror

人生unstable -- あるハッカー

読み込み中...