X



ECサイトで 70万人余の会員の個人情報が漏洩 パスワードも「平文」で保管のため漏洩 ディスクユニオン [神★]
■ このスレッドは過去ログ倉庫に格納されています
0001神 ★2022/06/30(木) 09:32:57.63ID:BfTVhClf9
「ディスクユニオン」 70万人余の会員の個人情報 漏えいか
2022年6月29日 18時25分

CDやレコードなどの専門店を展開する「ディスクユニオン」は、運営する2つのオンラインショップに登録している70万人余りの会員のメールアドレスとパスワード、それに名前や住所などの個人情報が漏えいしたおそれがあると発表しました。

(中略)

会員のパスワード 暗号化処理していない“平文”で保管
ディスクユニオンによりますと、今回漏えいしたおそれのあるおよそ70万人分の会員のパスワードは、暗号化の処理をしていない、いわゆる「平文」の状態で保管していたということです。

専門家は「情報漏えいのリスクを考えて、パスワードは、暗号化などを行ったうえで保管するべきだ」と指摘しています。

ディスクユニオンによりますと、今回、情報漏えいが起きた可能性がある2つのオンラインショップと、同じメールアドレスやパスワードで登録していた、通販サイトや音楽配信などの複数の別のサービスで、不正なログインがあったという問い合わせが、会員から相次いでいるということです。

情報セキュリティー会社によりますと、今月24日には「ディスクユニオン」のショッピングサイトの利用者のデータを入手したとする投稿が、主に海外で利用されているSNSで確認されています。

データは、およそ70万人分のパスワード、氏名、メールアドレスなどが含まれているとしていて、閲覧できる状態になっているということです。

サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「暗号化などがされていない平文のパスワードが漏えいすると、同じパスワードを他のサービスのログインに試す、パスワードリスト型攻撃に使われるおそれがある。ここ10年くらいに作られたWebサービスでは、利用者のパスワードを平文で保管しないことが常識になっており、サービスの運営者は、もしパスワードを暗号化などしていない場合は、漏えいのリスクを考えて、見直したほうがいい」と指摘しています。

一方、利用者側に対しては「複雑なものに設定したうえで、複数のサービスでの使い回しをしないようにしてほしい」と呼びかけています。
https://www3.nhk.or.jp/news/html/20220629/k10013694311000.html
0003ニューノーマルの名無しさん2022/06/30(木) 09:34:07.34ID:RzPragy10
パスワード平文ww
0006ニューノーマルの名無しさん2022/06/30(木) 09:34:50.64ID:oGcgcfu30
パスワード平文はいくら何でもダメ
0007ニューノーマルの名無しさん2022/06/30(木) 09:35:37.46ID:wC1BDRi90
>>4
そんなシステムばかりやろ日本は
0008ニューノーマルの名無しさん2022/06/30(木) 09:35:40.02ID:bN42qs4r0
パスワードは不可逆ハッシュにしないと
0011ニューノーマルの名無しさん2022/06/30(木) 09:37:20.97ID:cwbsHiD00
普通はそんなよくわからん零細で買わないから
0012ニューノーマルの名無しさん2022/06/30(木) 09:38:46.39ID:E4lZK2j90
パスワードの使い回しはやめようね
0013ニューノーマルの名無しさん2022/06/30(木) 09:39:52.26ID:qyKfGk/U0
逆に個人情報を平文で管理するシステムが販売されてるのかwすごいな
0015ニューノーマルの名無しさん2022/06/30(木) 09:42:34.79ID:EZ/Fe04z0
ドコモ口座も呆れたけど
まあディスクユニオンならこんなもんかなとも思う
ドコモはNTTに対する信頼がまだあったからな
0017ニューノーマルの名無しさん2022/06/30(木) 09:42:55.93ID:yQSIFcs80
平文はやばいなw
0021ニューノーマルの名無しさん2022/06/30(木) 09:49:46.24ID:ocWYLs020
それでも、アカウント、パスワード、カード番号、セキュリティコードを
平文で1レコードに記録するシステムを
これからもずっと、企業は使い続ける
そしていつか全世界に公開する
0024ニューノーマルの名無しさん2022/06/30(木) 09:56:17.82ID:wvMMC7YO0
ディスクユニオン(disk union)は、東京都千代田区に本社を置き、首都圏を中心に音楽CD・レコードチェーン店を展開する企業である。独自にレコードレーベルを持つレコード会社でもある。
0027ニューノーマルの名無しさん2022/06/30(木) 10:01:00.95ID:ZZp5uyG/0
パスワード平文で保存するECサイト作る方が難しくね?
今だとどんなオープンソースだってそんなの無いやろ
昔からのを継ぎ接ぎしてるんか
0028ニューノーマルの名無しさん2022/06/30(木) 10:01:10.97ID:JdGRKU240
PSN(プレステネットワーク)が平文パスワード保存でやらかしたせいでいまだに「お前のパスワードはこれだろ 消して欲しければ金払え」メールが来る
0029ニューノーマルの名無しさん2022/06/30(木) 10:02:53.27ID:4O2e3SEg0
暗号化ってそんなやりたくないほどコストがかかるのか?
0034ニューノーマルの名無しさん2022/06/30(木) 10:17:17.84ID:/fWVYhjC0
>> 会員のパスワード 暗号化処理していない“平文”で保管

この表現の時点でやべえ

パスワードは【ハッシュ化】な
暗号化じゃねーよ

ディスクユニオンの情報担当者の無能っぷりやべえ
0036ニューノーマルの名無しさん2022/06/30(木) 10:24:29.03ID:JrnGyh2G0
最近妙にピンポイントなフィッシングメールが来ると思ってたら
ディスクユニオンのせいかよ
平文でパスワードを保管とか言い訳
単に情報を売っただけやろ
0040ニューノーマルの名無しさん2022/06/30(木) 10:28:59.61ID:R8NnzFdD0
システムだのプログラムだの人件費だの、必要コストに金を出す事を極端に嫌うよな日本。
0042ニューノーマルの名無しさん2022/06/30(木) 10:35:38.12ID:JrnGyh2G0
ディスクユニオンはこれからファックスで受注しろよな。
シュレッダー使わず業者委託で情報流すんやろけど
0046ニューノーマルの名無しさん2022/06/30(木) 10:41:50.81ID:d+3yTRGD0
やっぱ情弱ジャップにITは無理
0048ニューノーマルの名無しさん2022/06/30(木) 10:45:03.13ID:OfxWDea50
>1
また懐かしい名前が出てきたなおいw
数十年前に聞いたきりだわ。よく生き残ってたもんだ
0049ニューノーマルの名無しさん2022/06/30(木) 10:45:09.41ID:WDPZzFOh0
もうECサイトは自前で認証機能持とうとするな
GoogleでもTwitterでもいいから外部認証機能使え
0050ニューノーマルの名無しさん2022/06/30(木) 10:46:13.95ID:zBAgGgKU0
そこまでアクセス出来てしまった原因を潰すのが最優先なのに平文を真っ先に問題視してしまう自称サイバーセキュリティに詳しい教授
0051ニューノーマルの名無しさん2022/06/30(木) 10:48:57.36ID:ThHLXG7s0
管理する気ゼロ
0052ニューノーマルの名無しさん2022/06/30(木) 10:51:07.41ID:pgXp2dWA0
日本スゴイw
0053ニューノーマルの名無しさん2022/06/30(木) 10:53:04.91ID:Fe1DMCqS0
これ最初から漏洩目的でサイト運営してるんだろ、個人データ幾つも紐付けしていけば個人のパスワード設定パターンが読み出せる
他にも同じ様なサイト管理集団があるはず
0054ニューノーマルの名無しさん2022/06/30(木) 10:53:56.71ID:rVjMMmBn0
類似の事案なんて今まで幾らでもあっただろうに
何故見直そうと思わないんだろ
そこが不思議だわ
0055ニューノーマルの名無しさん2022/06/30(木) 10:56:39.74ID:A6FMaeYZ0
また理系のバカさが露呈
0056ニューノーマルの名無しさん2022/06/30(木) 10:56:58.50ID:AtrJgaS20
ここ都内に支店いくつかあるけど
業界自体が斜陽かつ、とても儲かるようには見えないし
オールドな感じでITがこんな感じでも納得な店だわ
客層もIT音痴が多そうw
0057ニューノーマルの名無しさん2022/06/30(木) 10:59:12.30ID:GNhwO4Sr0
>>40
海外は同姓同名が多いし戸籍がない
だから個人が特定されにくい

ようは日本で個人情報を持とうとすると金かかる
日本人がケチなわけではなく高コストな仕組みとなっており負担しきれない状態
0059ニューノーマルの名無しさん2022/06/30(木) 11:04:43.60ID:ZXxUfYCh0
>> 1
平文がーとか言ってるけどmd5もshaも手間かけず一括で戻せるからな大した問題じゃない
取得された原因を解消するべき
本当にセキュリティやってんのか?
0062ニューノーマルの名無しさん2022/06/30(木) 11:16:16.75ID:mTrWE44m0
暗号化なんて一時しのぎにすぎないんだけどな
システム管理者が直接見たり間違えて吸い出したときにパッと見でパスワード抜けないって程度
こんな本気のなら平文じゃなかろうがアウツよ
0064ニューノーマルの名無しさん2022/06/30(木) 11:20:33.39ID:RLxpV+qU0
日本ってこういうセキュリティ正しく運用できる人材ってどれくらいいるのかな…
0065ニューノーマルの名無しさん2022/06/30(木) 11:22:44.02ID:x7gO76yA0
パスワードは8文字程度ではもうダメ

意味のないランダム文字で短いよりも、
意味のあって覚えやすい30文字がいい

「5chkaraiikagensotugyositai」みたいな
0066ニューノーマルの名無しさん2022/06/30(木) 11:28:36.49ID:vHoTjUCP0
パスワードを作るときっていつも悩むけど、キーボードのキーをデタラメに打つのが最善なのかな?
0071ニューノーマルの名無しさん2022/06/30(木) 11:33:33.35ID:WDPZzFOh0
>>66
今時ブラウザが勝手に決めてくれるだろ

そしてパソコン壊れてパスワードがわからなくなる罠w
0072ニューノーマルの名無しさん2022/06/30(木) 11:36:21.57ID:j1LDwCdj0
昔ながらの古き良きウェブサイト的なのはかなりこれあるよね
0073ニューノーマルの名無しさん2022/06/30(木) 11:50:12.82ID:vHoTjUCP0
>>69
了解。生成サイトですね

>>71
そういやそうでした。
あれ、無視するのが癖になってたから思い出せなかった

>>69
生成サイトはいらないです。
ブラウザが決めます
0075ニューノーマルの名無しさん2022/06/30(木) 12:00:16.36ID:nQAR7MoL0
パスワードで入力後に記号とかを理由に拒否ってくるサイト嫌い
0076ニューノーマルの名無しさん2022/06/30(木) 12:13:23.71ID:ZZp5uyG/0
平文で保存するようなサイト作ってるんだから流出の経路とか調べても意味ないんじゃね
どうせザル
0077ニューノーマルの名無しさん2022/06/30(木) 12:17:23.41ID:81lWUpQn0
へ…平文…
0078ニューノーマルの名無しさん2022/06/30(木) 12:25:10.07ID:CTsU7hiC0
ハッシュ化しないでそのまま保存って利用者がパス使い回ししてたら終わりやな
まあどちらも自業自得ではあるが

にしても今時有り得んレベルの低さだわなあ、大昔からある中堅どころの会社だろうに
0080ニューノーマルの名無しさん2022/06/30(木) 12:37:29.95ID:R8NnzFdD0
>>57
海外企業が平文で持っているかどうかはともかく、
単に暗号化しておけば済む話だ、
そこまでのコストは掛からない。

問題は、漏れた場合のリスクすら想定しない様な奴がこれを運営している事だ。
目先の金の事しか見えていない。
0081ニューノーマルの名無しさん2022/06/30(木) 12:41:48.39ID:A6FMaeYZ0
バカ理系だろ
0085ニューノーマルの名無しさん2022/06/30(木) 12:56:51.92ID:itXFeVnF0
ここ10年どころか
20年前の常識だわ
0086ニューノーマルの名無しさん2022/06/30(木) 12:57:49.60ID:itXFeVnF0
>>83
全然違う
0087ニューノーマルの名無しさん2022/06/30(木) 13:07:25.65ID:H0Tw2aSa0
IT企業の知り合いが、サーバーのデータベースにハッキングするようなレベルの連中相手に対策するだけ無駄だよ
読めない文字にしたら俺たちがメンテ作業できなくて面倒じゃんか~って言ってた
実際パスワード以外はほとんど平文なのが日本では常識らしいし、住所氏名電話番号誕生日とか個人情報は抜き放題だよ
がんばれハッカーたち
0088ニューノーマルの名無しさん2022/06/30(木) 13:13:10.84ID:ZAmPTPOM0
>>83
SSLはサーバーまでの通信経路を暗号化すること。今回の件は例えば「passdayo」をパスワードにしてた場合、データベースに入れるときに通常はハッシュ化と言って「passday」を「8dfkrix90」みたいなランダムな文字にルールに従って変換するのが普通だけどそのまま「passdayo」を入れちゃってた。
ハッシュ化された「8dfkrix90」から「passdayo」に復元はできないけど、passdayoをハッシュ化すると必ず「8dfkrix90」になるのでログインできる。なので運営者でもパスワードはわからないので、パスワードを忘れた時はリセットするしかない。

昔はパスワードリマインダーでパスワードを送ってきたサイトもあったけど、最近はほぼリセットになってる。逆にパスワード送ってくるサイトは平文保存か、複合化できる暗号化してるのでセキュリティ的に弱い。
0093ニューノーマルの名無しさん2022/06/30(木) 14:22:03.37ID:hvyh9ioF0
>>15
NTTも何たら公社の体質は変わってないから
そんなに驚きはない
0095ニューノーマルの名無しさん2022/06/30(木) 15:09:36.97ID:qdveZMv50
そもそも個人の住所や名前は個人情報なの?
個人で情報コントロールも出来ないのに?
0098ニューノーマルの名無しさん2022/06/30(木) 15:26:28.96ID:7weDDvEQ0
パスワードは平文で保管か
俺ですらメモ帳に書いてあるのはパスワードのヒントのみなのに
0100ニューノーマルの名無しさん2022/06/30(木) 17:30:11.10ID:f7McicF70
個人情報とパスワードをセットで平文で保存してあるならパスワードが何桁であろうが関係ないぞ
0101ニューノーマルの名無しさん2022/06/30(木) 18:13:45.41ID:9OU7yPZY0
>>88
むっちゃわかりやすい説明だな
きっと優秀な人に違いない
0102ニューノーマルの名無しさん2022/06/30(木) 18:14:17.97ID:LCQ9AK+j0
なんで平文で保管してるんだ?
暗号化するのに金かかるからケチった?
0103ニューノーマルの名無しさん2022/06/30(木) 18:17:48.98ID:Bc9IgYcx0
日本企業はこんなのばかりw
■ このスレッドは過去ログ倉庫に格納されています

ニューススポーツなんでも実況