凄い。不正利用に使えるもの全部漏れてる。
— 空き缶 (@akikankeri) October 3, 2024
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告https://t.co/yyQPTY7LMy pic.twitter.com/Kzgs5f37TB
タリーズコーヒージャパンは10月3日、直営の通販サイト「タリーズ オンラインストア」が不正アクセスを受けてペイメントアプリが改ざんされ、ユーザーのIDやパスワード9万2685件が流出した可能性があると発表した。
うち、クレジットカード番号を登録していたユーザー5万2958件は、カード番号やセキュリティコードなども流出したおそれがあるという。
サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けてペイメントアプリが改ざんされたことが原因。
流出した可能性がある個人情報は、2021年7月20日~2024年5月20日にタリーズ オンラインストアで会員登録した9万2685人の氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報。
また、2021年7月20日~2024年5月20日に同ストアでクレジットカード決済した5万2958人のクレジットカード番号、カード名義人名、有効期限、セキュリティコードも流出したおそれがある。
対象のユーザーには電子メールで連絡を始めた。
5月20日に、警視庁からカード情報が漏えいしている可能性があると連絡を受け、同日中にカード決済を停止。5月23日にオンラインストア自体を一時閉鎖した。サイトは改修し、セキュリティ対策を強化した上で再開する予定だ。
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
タリーズの、漏洩していた期間がとても長いし、発覚してから公表まで時間だいぶ掛かってるし、漏洩できるもの全部漏洩してた感じだし、全部だめだこれ。
— 空き缶 (@akikankeri) October 3, 2024
これだけの内容が漏洩してたら、漏れてないか?って問い合わせは来てるはずで、それが何年も放置されてたということになるので…警視庁から云われてやっと動いてるという… pic.twitter.com/vLgzTbtSBF
— 空き缶 (@akikankeri) October 3, 2024
コレ手口は何だったんだろう?
— 千葉のモミあつめ (@kaaz256) October 3, 2024
自分が前にお漏らしされた時はSQLインジェクションだった。
あと、カードのセキュリティコード保存してたのかしら?それとも入力する先から漏れてたのかしら?
(何でセキュリティコードを保管してんだよw \(^o^)/オワタ
— 常磐木狂屈 (@kyowkutsu) October 3, 2024
クレジットカード現物の2段階認証とも言えるセキュリティコードまで抜かれたらもうどうしょうもない。
— GULLIVER (@heavenlyutopia) October 3, 2024
決済業界知らないけど、
— 野猿職人 (@CSV001) October 3, 2024
セキュリティコードは普通DBに保存するもんなんか?
自分がよく使う通販サイトだと、
カード番号はシステム側で保存されてるので入力不要だが、
セキュリティコードは毎回入力させられるんだが?
>ペイメントアプリケーションの改ざん
— 野猿職人 (@CSV001) October 3, 2024
とあるから、DBぶっこ抜かれたんじゃなくて、
支払い画面改ざんによるユーザー入力情報漏洩の可能性が高いということか・・・。
“ペイメントアプリケーションの改ざん”について、こちらの記事が参考になります。https://t.co/tcnFh5knh6
— しまむら (@shimaisland) October 3, 2024
情報管理がかっタリーズ…なんて思ってたからこんなことになったんだろうな
— さといもの味噌汁 (@SatoimoB) October 3, 2024
氏名住所電話番号生年月日メアド って
— 毎日がトイレ掃除 😺の (@mikeke0505) October 3, 2024
ほとんどの人が何かしらのキャッシュカードとか別のクレジットカードとか
やられてる可能性大じゃねぇか
やばすぎる
その辺の流出とは訳が違いますね(汗)気づいた方は、速攻でカード止める&流用しているIDとパスワードは変えた方が良いですね
— 【AI×ICT】テックトークナビゲーター (@TechTalkNAVI) October 3, 2024
セキュリティコードが痛すぎますね・・
カード辞めるしか・・・
このレベルでも、漏えい懸念から数か月で公表したのはましな方で、セキュリティ意識の低い業者など1年位経ってから公表という例もあります。
— K.Kishi@にっぽん応援ツーリング#140&SSTR2024#269なQSA (@jn1ayu) October 3, 2024
タリーズからのクレカ情報5万件以上流出でセキュリティコードまで漏洩したとのことだけど、
— SHINTA (@shinta0806) October 3, 2024
セキュリティコード保存が禁じられているはずでは?
(機密認証データ(センシティブ認証データ)のため)
なんで流出したんだろ?https://t.co/irxVmTWcQkhttps://t.co/Nuc3GbaHIp pic.twitter.com/34L3oWTvnO
最近の漏洩事件では、カード番号を入力した時点でJavaScriptを使って情報を抜き取るような手口が一般的です。
— ハコ太郎 (@hakotarou) October 3, 2024
なのでデータベースに保存してなくても流出します。
