【悲報】スイパラでクレカ情報7409人分(全部盛り)が漏洩 [428324143]
■ このスレッドは過去ログ倉庫に格納されています
弊社が運営する「スイーツパラダイス オンラインショップ」への不正アクセスによる
個人情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営する「スイーツパラダイス オンラインショップ」におきまして、
第三者による不正アクセスを受け、お客様のクレジットカード情報(7,645件)が
漏洩した可能性があることが判明いたしました。お客様をはじめ、関係者の皆様に
多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにて
お詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが
お届けできなかったお客様には、書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する
概要につきまして、下記の通りご報告いたします。
2.個人情報漏洩状況
(1)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する
「スイーツパラダイス オンラインショップ」のシステムの一部の脆弱性をついた
ことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021年8月28日~2021年12月8日の期間中に「スイーツパラダイス オンラインショップ」
においてクレジットカード決済をされたお客様7,409名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
https://www.sweets-paradise.jp/news/%25news_cat%25/2022/06 なにスイーツパラダイスって
アイドルユニットかなにか? 
クレジット情報って暗号化して保存してるんじゃないの? セキュリティコードが漏洩した可能性がある時点で人災
交通事故で言ったら、飲酒してましたって言ってるのと同じ
もうどんないいわけしても無理 >弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「スイーツパラダイス オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
さらっとやべーこと書いてあるじゃん
他にももっとやられてんじゃねーの >>9
セキュリティ会社に行く前に抜かれるんか
ヤバすぎ 名前
期限
カード番号
セキュリティコード
あれ?買い物できね?ラッキーじゃん? なんでセキュリティコードを保存してるの?
被害者面してるけどこれもうほぼ犯罪だよ 必要情報全部抜かれてるのかよ
ほとんど公共物だろそのクレカ >クレジットカード決済をされたお客様7,409名で、漏洩した可能性のある情報は以下のとおりです。
>・クレジットカード名義人名
>・クレジットカード番号
>・有効期限
>・セキュリティコード
守れたのはカード会社名くらいか >>14
恐らくショップがサーバーに保存してるわけではない
ショッピングカートを改ざんされて利用者が入力した情報が全部盗まれてる >>9
某アイドル集団のオンラインショップでも同じ手法でやられてたな >>5
サイトが改ざんされてクレカ情報入力に変えられたって書いてあるけど >>24
それを4ヶ月気づきませんでしただもんなあ 結局さあ、スマホのセキュリティとかOSのバージョンが幾ら上がろうがこうやって漏れるんだよね個人情報ってのはさ。分かるかiPhone持って安全だ安全だってキャッキャしてるアホ共よw どうせオープンソースプラットフォームで、いつまでも脆弱性放置したビルド使ってたんだろ 内容見たら漏洩って漏れるどころスキミングのぶっこ抜きやん
>>21
入力情報まんま抜かれてるから書いてないだけで守られてないでしょ クレジットカード入力部分を自社で作ってるなら情報保管してません言っても無意味だよな
アプリケーション改竄じゃ無くても情報破棄した事を証明する何て不可能だし ぐぐったら騒ぎになりだしたのは去年12月か
発表遅いな かなり昔サウンドハウスでやられてから外資か妥協しても大手でしか買い物しないようにしてる
とにかくジャップは無能だし卑しい 今はカード情報は決済代行会社に飛ばすだけだからサーバーには保存してないんだよ
ただカード情報を入力するフォームを改ざんすれば入力されたデータが決済代行会社と一緒に攻撃者のサーバーにも送信することができる
だから情報抜かれても不正利用が発覚するまで分からない EC-CUBEで作ってるような通販サイトはろくにセキュリティ対策してないしパッチも当ててないからこういうことが良く起きる なんで保存してんだよって思ったらオンラインなんかやってたのか 本当に個人情報を守りたいならクレカや個人情報入力が必要なもんは使うなって事よな。まったく現実的ではないけどw アニメコラボゲームコラボのグッズ販売してたから被害ひどそう しかし毎回漏洩ニュース出るたびにセキュリティコードももれなくついてんの笑えるよな
セキュリティコードが全然セキュアじゃない件 アニメのコラボ商品買った奴の情報なんだろう
だったら問題無しw >>48
保存なんかしてないよ
利用者が入力した情報をそのまま抜かれる仕掛けをされただけ なんか去年の10月の原神コラボあたりで既に被害報告出てて
今年の2月末に調査終わってるのに警察に被害届出したの4月とかセキュリティはもちろんもう何から何までゴミ過ぎてすげぇな
こんな杜撰なとこなのにその後もコラボ続けてる各社も頭おかしいだろ セキュリティコードは保存しちゃいけないんだよおじさん「セキュリティーコードは保存しちゃいけ「そもそも入力した時点で外部に送信されてんだよ」……」 これだけの大問題なのにお詫びが500円のクーポン券とかだったら笑う 12月に発覚してるのになんでこんな発表が遅いんだよ
クレジットカードの補償期間2~3ヶ月だからわざと隠蔽したのか?
許せん こういうところは楽天で我慢するかせめてBASEかShopifyにすりゃいいのに
へっぽこベンダーに丸投げしてオープンソースでサイト作ったりするからこういうことになる ・何故こんなに発表まで時間が掛かったのか
・補償期間外の被害を支払うつもりがあるのか
・何故セキュリティコードまで抜かれたのか。(普通保持するのはあり得ない)
辺りの説明がないと許せんわ
特に年末に発覚して2月に調査終わってるのにここまで公表遅れたのはあり得ない >>62
元々セキュリティコードを保存してなくてもアプリを改竄されてるからもう何でもありだよ >>62
保存はしてないがページ改ざんされて
お前が入力したコードがそのまま決済代行サービスと詐欺師両方に送信されてるんだよ ここの食べ放題行ったことあるけどすぐお腹いっぱいになっちゃった🥺 12月に漏洩報告で
2月に調査結果判明(確定)したのに
発表が6月とは きがくるっとる 保存してたデータ取られたではなくアプリ改竄されたとかやべえ >>1
この説明文はスイパラ自身が作成した文じゃないな
ググったら他社でも同じ詫び文が大量に引っかかる >>72
は?コピペしてるってこと?最悪じゃん
普通謝罪文コピペするかよ頭おかしいのか >>73
試しに「本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、」でググってみろ >>74
テンプレ謝罪文😰
https://www.kitchoan.co.jp/important/20220524_news/
このたび、弊社が運営する「宗家源吉兆庵オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(14,127件)が漏洩した可能性があることが判明いたしました。
日頃より弊社商品をご愛顧いただいておりますお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
https://mogans.jp/Page/220323.aspx
このたび、弊社が運営する「mogans WEBショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(977件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。 ここもそうらしいがEC-CUBE2系で作られてる通販サイトもまだ普通に残ってるからねえ
穴あってもまともに対策してないサイトばっかりなんだけど運営側が無為無策だからどうしようもないんだよね 運営ってのは通販サイトの運営者な
EC-CUBE自体はちゃんと使えばいいプラットフォームなんだけどバージョン上げようとすると1から作り直しになるからやりたがらないサイトが多い もう不正利用されまくったあとだろうに今更該当者に報告とか遅すぎん? >>79
EC-CUBEをちゃんと使えてる奴がいるのか?
そもそも開発元がダメダメなのに >>12
偽ページ勝手に作られて、そこからカード番号を客に入力させて、攻撃者に情報とられたんだろ
偽ページ勝手に作られるような脆弱性放置して時点で積んでる
ゼロデイ攻撃かもしれないけど >>57
補償期限切れを狙ってるのではって言われてるね >>65
もはや利用者側でどうこうできる次元じゃないよな >>84
そんな悪質な加盟店なら罰金ものじゃないん? セキュリティコードは保存しちゃいけないんじゃなかったか? ・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
フルコースワロタ セキュリティコード記録すんなってずっと言われてんのに何故やるのかね 保存してないって書いてあるだろ
ケンモメンの識字率どうなってんの? じゃあなんで保存してないのに流出してんだよw
今は非保持式が常識なのにそれすらやってないってことだろ?
知ったかぶっちゃって聡しくないの? >>94
決済代行へのリクエストはajaxでクライアント処理だから
顧客属性としてのカード情報は保存どころかサーバすら通過してない
サーバが受け取ってるのは決済代行が用意してるAPI仕様によるが決済結果とトークン程度
知らない単語があったら調べながら読んでね 決済ページが改竄されてクラッカーのサーバと本物の代行会社のAPIの両方に送信されたパターンか
中小が狙われてたら検知するのは難しいだろうな 「自由に使える財布」を渡すのと同じ、根本のシステムがもう時代遅れなんだよ
クレカの「信用」とは本来、その渡した相手を信用するということ 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する
概要につきまして、下記の通りご報告いたします。
以上
これ客がバカだろ 電話したけど何いってもカード会社に問い合わせてくれとしか言われずキレたわ
カード変える手間賃は?この電話をしてる間の費用は?本来ならやらなくて良いのをあなた方の失態で私はやってるんだから補償すべきですよね!?って言っても謝られるだけ
何も返答出来ないならコールセンターなんか作るなや >>104
説明すると長くなるんだが
偽の静的画面を差し込むやり口では認証が切れる上に
決済代行へのリクエスト項目が足りなくなるから注文処理自体成立しなくなる
今回はちゃんと注文した荷物が届いた上でクレカ被害出てるから
>>96 の通り他所にフォームの内容を送信するだけのスクリプトを一本埋められたのだと思う >>105
徳丸さん動画のタイプ4だとそうだね
タイプ5だと、一度偽画面でカード情報を入力させたあとにエラー表示させて、正規サイトに飛ばし再度、購入手続きさせてる
なので商品は普通に届く ■ このスレッドは過去ログ倉庫に格納されています
