【悲報】ディスクユニオンさん、顧客情報がダークウェブに流出か? [637025811]
■ このスレッドは過去ログ倉庫に格納されています
【速報】「ディスクユニオン」で情報漏洩?会員情報DBのSQL dump流出?サイトは緊急メンテと表示
https://matomame.jp/user/yonepo665/fcb0f1c9bd4f65a84245
<訳>
Daily Dark Web@DailyDarkWeb
日本-ディスクユニオンのデータベースは#Leaked
このデータセットには、パスワード、名前、address_etc、tel、email_address、torihikisaki_codeなどが含まれます
Ken Sugar@ken_sugar
(ディスクユニオン、会員情報DBのSQL dump流出確定っぽい…。サンプル見る限り実データで間違いなさそう。ディスクユニオン登録者で他サービスで同ID/PWを使い回してる方は各サイトで変更するとともに、ログイン通知メールなどを受信した際はフィッシングの可能性もあるので正規サイトでご確認下さい) この規模の企業が自社でECのサイト持つ意味わからん
ショッピファイでも使えばいいじゃん >>3
言う程サブカルアイドルがユニオンのEC使うかね みんな忘れてるだろうけどメッセサンオー流出とか2ch●流出とかやべぇ流出は何度かあったからな
Amazonの購入履歴とか流出してみろ死人が出るぞ Spotifyに不正アクセスされたわ
パスワード漏れてるのかも パスワードの平文保存はマジで違法にするよう法整備してほしい >>11
Amazonって流出した話を聞かないな
設定によって情報が見られるってのはあっても、Amazonがやらかしたことってないからその点では安心なのかな >>19
マジな話、パスワードを問い合わせてきてそれに答えないととか言いだすアホ経営層が居る >>20
前なかったっけ?
Amazonアプリから関係ない人の購入履歴が見れてしまうバグ ダークウェブってどうやって見るの
tor掲示板みたいなモノ? >>23
ぼくおりこうさんなのでよくわかんないけど
winnyの上にも掲示板あったのでああいうのじゃないかな >>23
onion://で始まるサイト
httpsじゃないで
強制的にハッシュ値みたいなURLにされるし、何回か変わるからリンクサイト辿るしかない >>22
そういえばあった
検索したら2019年の話だった
今回みたいなDBの中身丸ごとってわけじゃないけど件数的にはどのぐらいだったんだろう >>25
>>28
なるほど分からん、俺には無縁だと言うことはわかった 6/25からメンテしてるじゃん
晒すぞという脅迫はもっと前にあったのかな しかし24日にHPメンテ入ったきりだんまりなのは企業として最悪手だな
バレないと思ったか そういえばここ数日不正ログインの通知が何件も来ていたが、これのせいだったのか 結構前に退会してるけど、すぐにDBから完全削除されるわけでもないだろうし
大丈夫とも言えんのだよなあ
この知らんぷり対応見てると不安しかない ディスクユニオンでなんか買ったような… と思ったが、
Amazonのマケプレに出品してるやつだけだった >>38
マケプレとかヤフショで買った人は大丈夫なんかな
あの辺は店舗ごとの出店にはなってるみたいだけど SpotifyとYahooから不正アクセス出た
責任とって欲しい ps://i.imgur.com/Eq99XOC.jpeg
ダンプ抜かれるガバセキュリティ
パスワード平文
抜かれたラストレコード6/16でお知らせは月末という早すぎる対応
ヨシ! ps://pbs.twimg.com/media/FWY8p4FagAAv0Xb?format=jpg&name=large
ps://mobile.twitter.com/takucity4/status/1541986633440198657
クレカは無事らしい
https://twitter.com/5chan_nel (5ch newer account) メール来てて迷惑メールに放り込むところだったわ
漏れたの下記の項目だとw
氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号
結構なお漏らしだなパス変えとくか 正直なとこ、パスワードはソルトつけて何万回もハッシュするってのが
常識になって20年は経ってるよな
どうしてパスワードを生で持とうとするのか、システムを開発した人間の意図も分からん
どこのボンクラ企業が開発したんだ? >>48
令和最新とは思えんな
ディスクユニオンの報告がまんま
>>16
この通りなのも自力で何も分かってないと吐露してるようなものでは なんか週末からやたら不正アクセスやら迷惑メールやらきてんのこのせい? 多分他と同じパスワード使ってたが、サイトメンテ中で確認のしようがないな… 今回の件でユニオンとSpotifyのメアドやパスワードを一緒にしてる人が多いことがわかったけど、Spotifyにこっそりアクセスして何するんだろうか 一昨日からAmazon詐欺メールがくるようになったんだけどユニオンが原因かよ 昨日トルコからアクセスの通知来てたがこれかよちくしょー うちもAmazonの詐欺メール来るようになったわ
メアド流出ほんとやめてくれよ >>52
うちも昨日からアマゾン詐欺メールきてるわ
アマゾンカードなんか持ってないからすぐ詐欺とわかったけど他のパターンだと危なかったかも
ユニオン登録のメルアド宛だから間違いなくこれが原因 さすがにパスの使いまわしはしてないけど
gmail使いまわししまくってるから困るわ >>58
gmailはローカル部のエイリアスが豊富だからサイトごとに変えとくと捗ることもある
.が無視されるのと末尾に+任意の文字を付けられる
abeshin@
abe.shin@
abeshin+zou@
これが同じアドレスとして使える Spotify、Amazon、Twitter、PayPalに相次いで不審ログインあったわ
めんどくさいから全部同じパスにしてたのがどっかで漏れちゃったんだと思ってたが、これか 利用した記憶すらない
メールきたから使ったのだろう
一応頻繁に利用するサイトのアドレスは変えておいた netflix勝手にアドレス変更されてた。
変更メール来てたから電話したら、契約されていた。
でも、対応が迅速で、解約・返金手続きして貰いました。 リンク先の問い合わせを使おうと思ったらフルネーム入力させようとしてて笑った 昔1回だけ使ったけど
登録時にランダムで発行される
パスワードから変更した形跡は無かった 元々在庫検索と店舗受け取りぐらいしかサービスの無いへんなメンバーズ登録だったよな
店側しかメリットない誰トクなポイントカードだった 公式でもアナウンスされた
https://diskunion.net/
〇漏えいの可能性が確認された個人情報
対象: 弊社オンラインショップ「diskunion.net」ならびに「audiounion.jp」にご登録されたお客様
項目: 氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号
件数: 最大約701,000件
※なお、弊社オンラインショップにおける決済は全て外部委託しておりますので、クレジットカード情報を保有しておりません。そのため、クレジットカード情報については漏えいの可能性はございません。
だそうです >>51
再生させて稼ぐ
あと2段階認証実装してない 問い合わせフォームが個人情報を更に入力しないと一切の受付が出来ない仕様 >>16
ファイル見たけど自分のしっかり漏れててワロタ >>16
メアドとパスワードで他サイトで登録してるクレカ使える MicrosoftからSpotifyやらGoogleやら変更したわ
パスワードだけで良いよな いくらユーザーが気を付けてもサイト側がおもらしされたらどうしようも出来ないな >>71
どこで見れるの?
自分も漏れたっぽいので確認したいんだが うちにも早速Amazon(笑)からメールが来てたけど、
ユニオン登録のメアドはAmazonでは使ってないしパスワードは変えたばっかりだったから実害はほぼなさそうかな。 ランダム生成のパスワードで助かったけどメアドと住所がセットで流出してるのは嫌だなあ
メインのメアド変えるか やっぱりクレカ情報登録しちゃダメだな
クレカ番号なんか暗記だわ Yahooのトップにも来たな
とりあえず賠償しろ間抜け >>77
せめで被害を最小限に食い止めるためにパスの使い回しはやめたほうがいいな
今どきはパスワードマネージャあるし Amazonを騙ったあやしいメールが2件きた後はなにもないんだけどパスワード変えなきゃならんのか パスワードは変えてなければ登録時自動発行の謎の文字列だよね 最近アドレス変更したばかりだったのに
もう迷惑メール来るようになった
めんどくせぇ 個人的に駿河屋とかパス平文じゃねーだろうなーとか疑っている
でーじょうぶなんだろうか >>5
詳しくはないんですけど13桁で半角英数字使ってます ユニオンからメール来たけど、お詫びクーポンついてないぞ
全力か?
>>93
駿河屋って、普通にネットから見られる状態で顧客情報管理して問題にならなかったっけ
他の会社だったっけな ユニオンから未だにメールが来ないんだけどセーフなのか? >>101
市民のほぼ前データ流出させた尼崎すらしてないのに? やってくれたなあ…と思ってキーチェーン確認したらここと同じメアドとパスの組み合わせ無かったわ
俺って偉いな 名前は変わらないし
電話番号なんてすぐ変えられないだろ ツイッターに不正アクセスあったから俺の漏れてると思うわ
ペイパルとか銀行は別メアドにしてよかった CD購入特典 作る費用がないから
剃った自分のまんげをプレゼント 猟奇殺人犯をテーマにしたノイズとかばっか買ってたから
ご近所の危険人物リストに名前入れられるかなあ
玄関ドアに「M」とか落書きされたら嫌だなあ そして今日も明日もこれからも
アカウント、パスワード、クレカ番号、セキュリティコードを平文で
同じ場所に格納する
そういうシステムを使い続ける企業が、1匹いたら100匹はいると思え お詫びメールまだ来ない…
セールや入荷のメールはあんなに来てたのに… >>57
そう
ハッシュして得られた結果に対して、またハッシュをかける
それを何万回もやる
例えばパスワードが英数字13文字だとしても、ハッシュを1回しかやらないのなら
数か月~数年はかかるだろうが英数字13文字総当たりのハッシュを作っちゃえば、
パスワードを解読できる
でも、パスワードは10万回ハッシュしてから保管という仕様とすると、
その10万回のハッシュだけで時間がかかるので、
総当たりのハッシュを作ろうと思うだけで、数十年~数百年はかかる
そうやって、解読に長期間かかるようにして、解読しようという気に
させないことが対策となる
やる気が無くなるだろ
やる気があっても、数百年後に得られた結果に価値があると思えないだろ
だから、ハッシュを何万回もやるというのは、対策として実に有効な手段の一つ 俺も今確認したらAmazon詐欺メールが迷惑メールのボックスに突っ込まれてたわ 御茶ノ水ユニオン行ってきたわ。もうね変なメールよく来るのね
コレやばいっす ディスクユニオンのレコードバッグ持って歩いてたら指差して笑われるようになるな ディスクユニオンのECサイトを制作した株式会社ジオコード(GEO CODE)にも問題あるんじゃないか? パスワードを暗号化してないのは致命的だし、名前/住所/電話番号まで紐付けされてるから未来永劫ネット上〜名簿業者で晒されていくわけ。ふざけんな!と言いたい。
https://www.hp-maker.net/performance/diskunion/
(魚拓) https://megalodon.jp/2022-0630-1349-00/https://www.hp-maker.net:443/performance/diskunion/ お詫びメール来てたから個人情報流出チェックみたいなサイト行ってみたけど何も無かったわ
パスワード使い回したりクレカ登録したりしてなければとりあえず大丈夫って事でいいのかな? 心当たりあるとこは一通りパスワード変えたけど、だんだんキャリアからの迷惑メールブロック通知の件数が増えてきてんのだるいな… お詫びメールようやく届いた
今のところ偽Amazonフィッシングメールしか被害がないけどPayPalのパスワード変えとくべきなのか? マケプレ経由でしか買ってないのにお詫びメール来たわ
クソが 売りたいCDあんのにオンラインで出来ねーじゃねーか
しかし漏洩したパスは変えるにしてもオンラインいつ復旧して
どう対処していくんだろうな これを機にクソみたいなポイント制度も改革してほしい 退会した人のも流出してるとかマジ?
一回使ったら終わりか
>>131
損害賠償モンだべ 俺はビーガンであることが徳なので真っ先にヴィーガンだけど別に言い聞かせる興味もないよ、動物を食べ物として動物に配慮せず、動物を解放しなければ、シンガーに言わせれば普遍的正義みたいなものだっけ? ハーストハウスの議論は、人間と同様の配慮があったせいで 神が科学の発展で失墜しちゃって大きな物語が失われて ■ このスレッドは過去ログ倉庫に格納されています