自動車雑貨通販サイトからクレカ情報流出 - テスト環境経由でバックドア

オンラインショップ「イタリア自動車雑貨店」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出していたことがわかった。

同サイトを運営するハックルベリー・アンド・サンズによれば、4月23日に決済代行会社からクレジットカードの不正利用に関する報告があり、その後の調査で判明したもの。サーバが不正アクセスを受けて3月16日にバックドアが設置され、プログラムの改ざんにより、クレジットカード情報が流出したと見られている。

流出の可能性があるのは、2015年4月23日20時までに登録されたクレジットカード情報2万8212件。カード名義や番号、有効期限などで、セキュリティコードは含まないという。実際に流出が確認されているのは、2014年1月以降の利用者だが、サイトを開設した2004年4月以降の顧客についても流出した可能性がある。

同社は不正アクセスを受けた原因について、サイトを構築した事業者が、2012年にテスト環境を同一サーバ内に無断で設置し、そのまま放置していたと説明。テスト環境の管理画面は、簡易なIDとパスワードが設定されており、テスト環境と実環境が同じデータベースを参照していたことからバックドアをしかけられたという。ウェブサイトの改ざんによるマルウェア感染の可能性については否定している。

また漏洩の可能性が判明してから公表まで2カ月間を要したことについて、「早い段階の公表は混乱を招く可能性があった」と釈明。クレジットカード会社の指示に従って公表したとしている。利用者には明細を確認し、心当たりがない請求についてはクレジットカード会社へ連絡を取るようアナウンスしている。

今後同社では、クレジットカード情報を保有せず、PCI DSSに準拠した決済システムを導入したうえでサービスを再開する予定。

（Security NEXT - 2015/06/29 ） ツイート

PR

関連記事

子ども用サプリ通販サイト、委託先カートシステムに不正アクセス
旧システムに不正アクセス、個人情報流出の可能性 - 京都の料亭
仏教関連グッズの通販サイトに不正アクセス - 個人情報流出の可能性
シャープ通販サイトでクレカ情報など個人情報流出の可能性
紅茶専門店の通販サイトに不正アクセス - 個人情報流出の可能性
老舗ランドセルメーカー通販サイト、個人情報流出の可能性
健康食品雑貨の通販サイトで個人情報流出の可能性 - クレカ情報の不正入力も
決済アプリ改ざん、顧客情報9万件が流出か - タリーズ通販サイト
洋菓子店のオンライン通販サイトが不正アクセス被害
ベルギーチョコのECサイト、クレカ情報が流出