ECサイトで 70万人余の会員の個人情報が漏洩 パスワードも「平文」で保管のため漏洩 ディスクユニオン [神★]
■ このスレッドは過去ログ倉庫に格納されています
「ディスクユニオン」 70万人余の会員の個人情報 漏えいか
2022年6月29日 18時25分
CDやレコードなどの専門店を展開する「ディスクユニオン」は、運営する2つのオンラインショップに登録している70万人余りの会員のメールアドレスとパスワード、それに名前や住所などの個人情報が漏えいしたおそれがあると発表しました。
(中略)
会員のパスワード 暗号化処理していない“平文”で保管
ディスクユニオンによりますと、今回漏えいしたおそれのあるおよそ70万人分の会員のパスワードは、暗号化の処理をしていない、いわゆる「平文」の状態で保管していたということです。
専門家は「情報漏えいのリスクを考えて、パスワードは、暗号化などを行ったうえで保管するべきだ」と指摘しています。
ディスクユニオンによりますと、今回、情報漏えいが起きた可能性がある2つのオンラインショップと、同じメールアドレスやパスワードで登録していた、通販サイトや音楽配信などの複数の別のサービスで、不正なログインがあったという問い合わせが、会員から相次いでいるということです。
情報セキュリティー会社によりますと、今月24日には「ディスクユニオン」のショッピングサイトの利用者のデータを入手したとする投稿が、主に海外で利用されているSNSで確認されています。
データは、およそ70万人分のパスワード、氏名、メールアドレスなどが含まれているとしていて、閲覧できる状態になっているということです。
サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「暗号化などがされていない平文のパスワードが漏えいすると、同じパスワードを他のサービスのログインに試す、パスワードリスト型攻撃に使われるおそれがある。ここ10年くらいに作られたWebサービスでは、利用者のパスワードを平文で保管しないことが常識になっており、サービスの運営者は、もしパスワードを暗号化などしていない場合は、漏えいのリスクを考えて、見直したほうがいい」と指摘しています。
一方、利用者側に対しては「複雑なものに設定したうえで、複数のサービスでの使い回しをしないようにしてほしい」と呼びかけています。
https://www3.nhk.or.jp/news/html/20220629/k10013694311000.html 逆に個人情報を平文で管理するシステムが販売されてるのかwすごいな ドコモ口座も呆れたけど
まあディスクユニオンならこんなもんかなとも思う
ドコモはNTTに対する信頼がまだあったからな 前にぴあもやらかしてメール来てたけどあんまり騒がれなかったな 二要素認証ってなにそれ美味しいのってレベルなんかな それでも、アカウント、パスワード、カード番号、セキュリティコードを
平文で1レコードに記録するシステムを
これからもずっと、企業は使い続ける
そしていつか全世界に公開する 平文はアレとして
MD5で漏れても現状ヤバイかね? よく見ろ世界!これが日本のデジタル社会だ!
さあ岸田に投資してくれ! ディスクユニオン(disk union)は、東京都千代田区に本社を置き、首都圏を中心に音楽CD・レコードチェーン店を展開する企業である。独自にレコードレーベルを持つレコード会社でもある。 個人情報削除依頼した
変なメール来たら全部ユニオンのせい 20年前から平文保存はありえないって言われてるのに パスワード平文で保存するECサイト作る方が難しくね?
今だとどんなオープンソースだってそんなの無いやろ
昔からのを継ぎ接ぎしてるんか PSN(プレステネットワーク)が平文パスワード保存でやらかしたせいでいまだに「お前のパスワードはこれだろ 消して欲しければ金払え」メールが来る 暗号化ってそんなやりたくないほどコストがかかるのか? どういうレベルの技術者が作ったECサイトなんだろうね。 >> 会員のパスワード 暗号化処理していない“平文”で保管
この表現の時点でやべえ
パスワードは【ハッシュ化】な
暗号化じゃねーよ
ディスクユニオンの情報担当者の無能っぷりやべえ 最近妙にピンポイントなフィッシングメールが来ると思ってたら
ディスクユニオンのせいかよ
平文でパスワードを保管とか言い訳
単に情報を売っただけやろ パスワードだけでなく、個人情報全て暗号化されるべき システムだのプログラムだの人件費だの、必要コストに金を出す事を極端に嫌うよな日本。 個人情報完全削除を掲げていた某DVD販売サイトが↓ ディスクユニオンはこれからファックスで受注しろよな。
シュレッダー使わず業者委託で情報流すんやろけど 尼崎市のお漏らしも謝罪で終わったからユニオンも問題無いだろ Iwasaki Tetsuya お前のメールの事だよ >1
また懐かしい名前が出てきたなおいw
数十年前に聞いたきりだわ。よく生き残ってたもんだ もうECサイトは自前で認証機能持とうとするな
GoogleでもTwitterでもいいから外部認証機能使え そこまでアクセス出来てしまった原因を潰すのが最優先なのに平文を真っ先に問題視してしまう自称サイバーセキュリティに詳しい教授 これ最初から漏洩目的でサイト運営してるんだろ、個人データ幾つも紐付けしていけば個人のパスワード設定パターンが読み出せる
他にも同じ様なサイト管理集団があるはず 類似の事案なんて今まで幾らでもあっただろうに
何故見直そうと思わないんだろ
そこが不思議だわ ここ都内に支店いくつかあるけど
業界自体が斜陽かつ、とても儲かるようには見えないし
オールドな感じでITがこんな感じでも納得な店だわ
客層もIT音痴が多そうw >>40
海外は同姓同名が多いし戸籍がない
だから個人が特定されにくい
ようは日本で個人情報を持とうとすると金かかる
日本人がケチなわけではなく高コストな仕組みとなっており負担しきれない状態 >> 1
平文がーとか言ってるけどmd5もshaも手間かけず一括で戻せるからな大した問題じゃない
取得された原因を解消するべき
本当にセキュリティやってんのか? >>1
時代遅れではあるが、実店舗で現金決済が安心という人の主張も分かるよ 暗号化なんて一時しのぎにすぎないんだけどな
システム管理者が直接見たり間違えて吸い出したときにパッと見でパスワード抜けないって程度
こんな本気のなら平文じゃなかろうがアウツよ 暗号化もハッシュ化も最終的には意味がないなら平文で保存しちゃろ! 日本ってこういうセキュリティ正しく運用できる人材ってどれくらいいるのかな… パスワードは8文字程度ではもうダメ
意味のないランダム文字で短いよりも、
意味のあって覚えやすい30文字がいい
「5chkaraiikagensotugyositai」みたいな パスワードを作るときっていつも悩むけど、キーボードのキーをデタラメに打つのが最善なのかな? >>65
ローマ字どの形式だっけ?てにをはどうだっけ?とかで
詰むやつだw こういうの、公表されてないやつとかもあるんだろな
それもたくさん >>66
今時ブラウザが勝手に決めてくれるだろ
そしてパソコン壊れてパスワードがわからなくなる罠w 昔ながらの古き良きウェブサイト的なのはかなりこれあるよね >>69
了解。生成サイトですね
>>71
そういやそうでした。
あれ、無視するのが癖になってたから思い出せなかった
>>69
生成サイトはいらないです。
ブラウザが決めます パスワードで入力後に記号とかを理由に拒否ってくるサイト嫌い 平文で保存するようなサイト作ってるんだから流出の経路とか調べても意味ないんじゃね
どうせザル ハッシュ化しないでそのまま保存って利用者がパス使い回ししてたら終わりやな
まあどちらも自業自得ではあるが
にしても今時有り得んレベルの低さだわなあ、大昔からある中堅どころの会社だろうに >>57
海外企業が平文で持っているかどうかはともかく、
単に暗号化しておけば済む話だ、
そこまでのコストは掛からない。
問題は、漏れた場合のリスクすら想定しない様な奴がこれを運営している事だ。
目先の金の事しか見えていない。 >>75
無駄に複雑なの指定するのやめてほしいよな IT企業の知り合いが、サーバーのデータベースにハッキングするようなレベルの連中相手に対策するだけ無駄だよ
読めない文字にしたら俺たちがメンテ作業できなくて面倒じゃんか~って言ってた
実際パスワード以外はほとんど平文なのが日本では常識らしいし、住所氏名電話番号誕生日とか個人情報は抜き放題だよ
がんばれハッカーたち >>83
SSLはサーバーまでの通信経路を暗号化すること。今回の件は例えば「passdayo」をパスワードにしてた場合、データベースに入れるときに通常はハッシュ化と言って「passday」を「8dfkrix90」みたいなランダムな文字にルールに従って変換するのが普通だけどそのまま「passdayo」を入れちゃってた。
ハッシュ化された「8dfkrix90」から「passdayo」に復元はできないけど、passdayoをハッシュ化すると必ず「8dfkrix90」になるのでログインできる。なので運営者でもパスワードはわからないので、パスワードを忘れた時はリセットするしかない。
昔はパスワードリマインダーでパスワードを送ってきたサイトもあったけど、最近はほぼリセットになってる。逆にパスワード送ってくるサイトは平文保存か、複合化できる暗号化してるのでセキュリティ的に弱い。 >>66
0123456789
10桁有るから大丈夫だよ インボイス始まれば国民の1割強は、強制的に公開されるんだけどな >>90
もう尼崎市民は役所にある全データお漏らしされたから今更どうってことない あーだからここ数日フィッシングメールがやたら届くようになったのかな >>15
NTTも何たら公社の体質は変わってないから
そんなに驚きはない 会員カード持ってるけどオンライン登録してなかったw
やっぱり危ないよね そもそも個人の住所や名前は個人情報なの?
個人で情報コントロールも出来ないのに? >>95
住所氏名年齢電話番号メールアドレスは個人情報には当たらないと閣議決定が必要だな パスワードは平文で保管か
俺ですらメモ帳に書いてあるのはパスワードのヒントのみなのに 個人情報とパスワードをセットで平文で保存してあるならパスワードが何桁であろうが関係ないぞ >>88
むっちゃわかりやすい説明だな
きっと優秀な人に違いない なんで平文で保管してるんだ?
暗号化するのに金かかるからケチった? ■ このスレッドは過去ログ倉庫に格納されています