【3万人流出】クロネコメンバーズにパスワードリスト攻撃、顧客アカウント3,467件に不正ログイン発生
■ このスレッドは過去ログ倉庫に格納されています
クロネコメンバーズにパスワードリスト攻撃、顧客アカウント3,467件に不正ログイン発生
2019.07.25
https://cybersecurity-jp.com/news/32587
ヤマト運輸株式会社は2019年7月24日、同社ウェブサービス「クロネコメンバーズ」の顧客アカウント3,467件に、特定のIPから不正ログインが確認されたと明らかにしました。
異常を検知した同社が調査を進めたところ2019年7月23日に、不審なIPからのアクセスを約3万件ほどを確認。これにより顧客アカウント3,467件が、不正ログインを受けたとの見方を示しています。 これが日本のITのレベル
残念とかいうレベルじゃない
人を育てない、教育しないということはこんな結果を招くってことだ。 そのなかに自分のIDがあるかどうかは分からないの? >>10
個別にメールくるらしいよ。
それと、ログイン時にパスワード変更求められたら該当者。 >>10
ログインすれば対象者はパスワード変えろと言われるらしい >>14
住所と名前バレるんじゃね
あとアマゾンと連携できたはずだからやばいんじゃない クレカ登録してないから実害は無さそうだけど
困ったもんだ >>14
閲覧された可能性のある項目:
クロネコID、メールアドレス、利用の端末種別(パソコンまたは携帯・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
だから何?って感じだな・・・ クロネコが持ってそうな顧客データの利用方法が思い浮かばない どっちなんだろう。NTTは強制的に変更させるし、りそなは毎回アラート出してくるけど。
ヤマト運輸
お客さまへのお願い
お客さまには不正ログイン防止の観点から、定期的なパスワードの変更をお願いいたします。
総務省
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、
サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。
また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに
変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html 例のUNIQLOと同様で、スマホ主体のシステムが原因だろ?
どこの海の物とも山の物ともつかないサードパーティ製アプリケーションソフトウェアを数多に常駐させることだけが命のスマホなんかでリアルタイム決済とか、頭おかしい。 >>24
定期的に変えられると、ハッキングする側が困るでしょ ここ不正アクセスしても何かお金の足しになるネタなんてないだろ メアドをIDにするサービスは根本的にセキュリティザル 防ぎにくいよな。ただリストにあるパスワードで入れるってのもなぁw Amazonとかの連携アカウントでログインしてる人は購入履歴とかも漏れてたりして >>21
なにがしたいんだろうな
自分宛に送らせるとか? >>14
つい最近Tポイント連携で100万ポイント当たるとかいうのやってるんだよ
たぶんこれで自ら呼び寄せた犯罪ってところかな 3万アクセスの1/10の当たりか?
会員総数が知りたい パスワード使い回ししてる奴なんていくらでもいる
IDがメアドのサイトならフリーパス >>4
> 4. お客さまへのお願い
> お客さまには不正ログイン防止の観点から、定期的なパスワードの変更をお願いいたします。
今どきパスワードの定期的変更を求める会社って…推して知るべし,かw >>35
簡単にリストアタックできる仕組みを利用されたと見るべきじゃないか?
当たったIDは別の会員サービスでの有効なログイン確率が高まるじゃないか >>21
まあ、既にリスト型攻撃のターゲットにされてる奴ならとっくに漏れてそうなレベルの情報かな
とりあえず紐付けしておこう程度 >>39
あーYahooにそのバナー良く出てたね
登録しないで良かったわ まじか、登録してるわ
とりあえずパスワード変更して2段階認証設定しておいた
普通に前のパスワードでログインできたし、問題なかったってことかな?
まー12桁のランダム英数文字だからリスト攻撃なら大丈夫だろうが >>14
商品の窃取
→クレジットマスターとか盗難したカード番号で決済
→クロネコメンバーズのアカウントを乗っ取って、連携ID・メールアドレスほか変更して紐付け
→商品が発送されたら無人の宅配ロッカーほかに届け先を変更して勝手に受け取り
通販屋さんが属性確認でNGして、ヤマトさんに配送止め依頼してももう配達店の手前あたり
カード不正はチャージバックされて、通販屋さんか名義人が負担
窃取品を監禁すればホクホク
下らねーことやってねえで働けよ!と 自動パスワードにしたから俺ももうパスワードわかんねーや リストアタックってのは利用者が他のサイトとパスワードを使い回しを行っていて
攻撃者「おっ!メアドとパスワードこのサイトで通るなら他のサイトでもいけるんじゃね?!」
そのように攻撃を行うものになる なお、漏れてるサイトは漏れた事実を書かないのでお察し。
アドバイスとしては、黒猫に限らず、全ての利用するパスワードは違うものを使えよな・・。
たまにいるだろ?郵便でもアンケートと役所と私信で
最後の住所に「1番目のポスト」とか「2番目のポスト」と書いたり
あるいは、「住所+家族(ぬいぐるみの名前)宛」というように書き足しておいてよ
漏れたときに何処の会社が漏らしてるか確認するだろ? やってることは一緒の対策だよ どんなサービスでもアカウントを作らないとダメなやつは利用する気にならない。 昨日丁度再配達でログインしたばっか
仕方ない変えるか これ見てTポイントをクロネコミニカーと交換するつもりだったの思い出したわw やべー、パワードリフトに見えた
疲れてるのかな(´・ω・`) 今ログインしたらPW変更しろとは言われなかったから変えなくていいか 同じIPで違うIDを何度も使った場合もロックでいいよな? 対象じゃないけど、また不正ログインされる可能性あるだろ 漏らしたり同じパスワード使いまわしてるアホが悪いだろコレ この頭悪いスレタイ見てヤマト運輸が3万件流出させたと思い込む奴多そうだな リスト攻撃対策でパスワード使い回しは止めてる人も多いだろう
だから3万件の不正ログイン試行で入られたのが3千人分、になるわけだ
約1割のセキュリティーが疎かな人がやられたってことで >>68
ログインは成功しなくても3万のアカウントはリストとして漏れてたってことだよね? >>61
メンバーなのでログインしてみたけど不正アクセスされたIDには通知してるってよ 使い回しはしてないけど
念のためパスワード変更と
2段階認証も付けた
まったく…(-_-#) >>70
そのリスト攻撃のリストが何で漏れてんの? >>27
定期的に変えようが変えなかろうが、ブルートフォースには無関係
ならば、覚えにくい長文より覚えやすい短文設定してる客の方が易しい >>21
> クロネコID、メールアドレス、利用の端末種別(パソコンまたは携帯・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
>
> だから何?って感じだな・・・
全部じゃん火消しかよ
死ねよ
性癖もやばいしクレカもレシートなどで表示されない下四桁が肝心なのに >>63
家族で違うアカウントだったりマンション内でLANになってる環境とか >>77
いや待て今クレカの上位12桁をレシートに書いちゃう糞業者どこだよそれが先だ
下四桁はハッシュで上位12桁から計算で出るんでみんな下4桁表示に切り替えてるのに な、なんだって!!!!!
俺の12桁のパスも盗まれたのか?*/////////**-*-*/? 最も利用者の多いであろうamazonのセキュリティは高いから、他も
じゃないとクレジットカード登録とか出来ないもんね ここに入ってどうすんの?
メルアドとパスワード目的? あーあ、宅配便です強盗や荷物押し付け詐欺のターゲットリストにされるわけか リスト型だから不正ログインされた人は使いまわしてる人。
つまり、黒猫以外のサイトも全部変えなきゃいけないんだが、
そういうタイプはサイトの管理もしてないだろ。
パス管してる人はパスワードも変えてるだろうからな。 三審制(いくつでもいいが)取り入れてない時点で(ry 少なくとも国外での需要がほぼ皆無なら
国外のIPからのアクセスは全部禁止しとけ evernoteも不正アクセス発生中だけど何も発表ないのな pjocnozamaemirp
これが破られたことのない俺のパス 荷物の配達予定がばれる、家の前で待ち構えて本人のフリして受け取ることも可能
ヤマトは全宅配物を未来永劫補償すべきだろう 10以上のサイト登録してたらパスワードなんて2,3通りくらいで使い回ししてるだろ >>87
クロネコのIDはメールアドレスじゃないから
別サイトのアタック用に
メールアドレスとパスワードの組が新しくリストに加わることになるよね ヤマトと関係ないけど銀行のネットバンキングアプリと
ワンタイムパスワードアプリお同じスマホに入れて利用
するのは意味ないような気がするのだが
自分はワンタイムパスワードは面倒だけど専用の発生器
使ってる なんで?
と思ったら、クレジットカードナンバーの入力欄があったか。 ■ このスレッドは過去ログ倉庫に格納されています