ECサイトで 70万人余の会員の個人情報が漏洩　パスワードも「平文」で保管のため漏洩　ディスクユニオン [神★]

**神 ★** · 2022/06/30(木) 09:32:57.63

「ディスクユニオン」 70万人余の会員の個人情報漏えいか
2022年6月29日 18時25分

CDやレコードなどの専門店を展開する「ディスクユニオン」は、運営する2つのオンラインショップに登録している70万人余りの会員のメールアドレスとパスワード、それに名前や住所などの個人情報が漏えいしたおそれがあると発表しました。

(中略)

会員のパスワード暗号化処理していない“平文”で保管
ディスクユニオンによりますと、今回漏えいしたおそれのあるおよそ70万人分の会員のパスワードは、暗号化の処理をしていない、いわゆる「平文」の状態で保管していたということです。

専門家は「情報漏えいのリスクを考えて、パスワードは、暗号化などを行ったうえで保管するべきだ」と指摘しています。

ディスクユニオンによりますと、今回、情報漏えいが起きた可能性がある2つのオンラインショップと、同じメールアドレスやパスワードで登録していた、通販サイトや音楽配信などの複数の別のサービスで、不正なログインがあったという問い合わせが、会員から相次いでいるということです。

情報セキュリティー会社によりますと、今月24日には「ディスクユニオン」のショッピングサイトの利用者のデータを入手したとする投稿が、主に海外で利用されているSNSで確認されています。

データは、およそ70万人分のパスワード、氏名、メールアドレスなどが含まれているとしていて、閲覧できる状態になっているということです。

サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「暗号化などがされていない平文のパスワードが漏えいすると、同じパスワードを他のサービスのログインに試す、パスワードリスト型攻撃に使われるおそれがある。ここ10年くらいに作られたWebサービスでは、利用者のパスワードを平文で保管しないことが常識になっており、サービスの運営者は、もしパスワードを暗号化などしていない場合は、漏えいのリスクを考えて、見直したほうがいい」と指摘しています。

一方、利用者側に対しては「複雑なものに設定したうえで、複数のサービスでの使い回しをしないようにしてほしい」と呼びかけています。
https://www3.nhk.or.jp/news/html/20220629/k10013694311000.html

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:33:29.56

クオカード500円はよ

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:34:07.34

パスワード平文ww

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:34:15.51

素人が初心者向けの本を読みながら作ったのかな？

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:34:42.33

流出することは想定内

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:34:50.64

パスワード平文はいくら何でもダメ

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:35:37.46

>>4
そんなシステムばかりやろ日本は

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:35:40.02

パスワードは不可逆ハッシュにしないと

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:36:54.71

ハッシュ化してないのか

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:37:04.19

誠に遺憾であり再発防止を徹底する

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:37:20.97

普通はそんなよくわからん零細で買わないから

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:38:46.39

パスワードの使い回しはやめようね

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:39:52.26

逆に個人情報を平文で管理するシステムが販売されてるのかwすごいな

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:40:37.82

くそ、俺が知らない俺のパスワードが

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:42:34.79

ドコモ口座も呆れたけど
まあディスクユニオンならこんなもんかなとも思う
ドコモはNTTに対する信頼がまだあったからな

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:42:44.36

乞食パスワードなんて1234だろｗ

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:42:55.93

平文はやばいなｗ

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:43:26.18

パスワード平文ってどんだけ素人なんだよｗ

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:43:35.63

前にぴあもやらかしてメール来てたけどあんまり騒がれなかったな

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:48:56.01

二要素認証ってなにそれ美味しいのってレベルなんかな

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:49:46.24

それでも、アカウント、パスワード、カード番号、セキュリティコードを
平文で１レコードに記録するシステムを
これからもずっと、企業は使い続ける
そしていつか全世界に公開する

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:52:55.19

平文はアレとして
MD5で漏れても現状ヤバイかね？

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:55:41.81

よく見ろ世界！これが日本のデジタル社会だ！
さあ岸田に投資してくれ！

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:56:17.82

ディスクユニオン（disk union）は、東京都千代田区に本社を置き、首都圏を中心に音楽CD・レコードチェーン店を展開する企業である。独自にレコードレーベルを持つレコード会社でもある。

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:56:58.97

個人情報削除依頼した
変なメール来たら全部ユニオンのせい

**ニューノーマルの名無しさん** · 2022/06/30(木) 09:59:30.82

20年前から平文保存はありえないって言われてるのに

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:01:00.95

パスワード平文で保存するECサイト作る方が難しくね？
今だとどんなオープンソースだってそんなの無いやろ
昔からのを継ぎ接ぎしてるんか

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:01:10.97

PSN（プレステネットワーク）が平文パスワード保存でやらかしたせいでいまだに「お前のパスワードはこれだろ消して欲しければ金払え」メールが来る

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:02:53.27

暗号化ってそんなやりたくないほどコストがかかるのか？

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:03:45.47

>>1
重複やぞ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:05:15.27

どういうレベルの技術者が作ったECサイトなんだろうね。

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:06:13.92

さすが時代遅れ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:14:10.01

また時代後れなハッシュ厨わくすれになりそうだな

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:17:17.84

>> 会員のパスワード暗号化処理していない“平文”で保管

この表現の時点でやべえ

パスワードは【ハッシュ化】な
暗号化じゃねーよ

ディスクユニオンの情報担当者の無能っぷりやべえ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:18:57.56

パスワードの意味がねえw

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:24:29.03

最近妙にピンポイントなフィッシングメールが来ると思ってたら
ディスクユニオンのせいかよ
平文でパスワードを保管とか言い訳
単に情報を売っただけやろ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:26:53.82

海外のSNSとは？

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:27:17.23

パスワードだけでなく、個人情報全て暗号化されるべき

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:27:31.06

わざとやろw

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:28:59.61

システムだのプログラムだの人件費だの、必要コストに金を出す事を極端に嫌うよな日本。

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:32:55.04

個人情報完全削除を掲げていた某DVD販売サイトが↓

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:35:38.12

ディスクユニオンはこれからファックスで受注しろよな。
シュレッダー使わず業者委託で情報流すんやろけど

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:36:16.58

尼崎市のお漏らしも謝罪で終わったからユニオンも問題無いだろ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:36:17.96

イット

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:37:09.38

>>25
そのメールまで漏れるのがお約束だろ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:41:50.81

やっぱ情弱ジャップにITは無理

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:41:50.94

Iwasaki Tetsuya お前のメールの事だよ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:45:03.13

>1
また懐かしい名前が出てきたなおいｗ
数十年前に聞いたきりだわ。よく生き残ってたもんだ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:45:09.41

もうECサイトは自前で認証機能持とうとするな
GoogleでもTwitterでもいいから外部認証機能使え

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:46:13.95

そこまでアクセス出来てしまった原因を潰すのが最優先なのに平文を真っ先に問題視してしまう自称サイバーセキュリティに詳しい教授

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:48:57.36

管理する気ゼロ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:51:07.41

日本スゴイｗ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:53:04.91

これ最初から漏洩目的でサイト運営してるんだろ、個人データ幾つも紐付けしていけば個人のパスワード設定パターンが読み出せる
他にも同じ様なサイト管理集団があるはず

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:53:56.71

類似の事案なんて今まで幾らでもあっただろうに
何故見直そうと思わないんだろ
そこが不思議だわ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:56:39.74

また理系のバカさが露呈

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:56:58.50

ここ都内に支店いくつかあるけど
業界自体が斜陽かつ、とても儲かるようには見えないし
オールドな感じでITがこんな感じでも納得な店だわ
客層もIT音痴が多そうｗ

**ニューノーマルの名無しさん** · 2022/06/30(木) 10:59:12.30

>>40
海外は同姓同名が多いし戸籍がない
だから個人が特定されにくい

ようは日本で個人情報を持とうとすると金かかる
日本人がケチなわけではなく高コストな仕組みとなっており負担しきれない状態

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:01:29.29

さすがIT大国！

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:04:43.60

>> 1
平文がーとか言ってるけどmd5もshaも手間かけず一括で戻せるからな大した問題じゃない
取得された原因を解消するべき
本当にセキュリティやってんのか？

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:11:14.74

ウヨハゲ　パヨハゲ

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:15:38.69

>>1
時代遅れではあるが、実店舗で現金決済が安心という人の主張も分かるよ

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:16:16.75

暗号化なんて一時しのぎにすぎないんだけどな
システム管理者が直接見たり間違えて吸い出したときにパッと見でパスワード抜けないって程度
こんな本気のなら平文じゃなかろうがアウツよ

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:18:12.38

暗号化もハッシュ化も最終的には意味がないなら平文で保存しちゃろ！

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:20:33.39

日本ってこういうセキュリティ正しく運用できる人材ってどれくらいいるのかな…

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:22:44.02

パスワードは8文字程度ではもうダメ

意味のないランダム文字で短いよりも、
意味のあって覚えやすい30文字がいい

「5chkaraiikagensotugyositai」みたいな

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:28:36.49

パスワードを作るときっていつも悩むけど、キーボードのキーをデタラメに打つのが最善なのかな？

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:29:04.66

>>65
ローマ字どの形式だっけ？てにをはどうだっけ？とかで
詰むやつだw

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:31:10.85

>>61
FAXも

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:31:55.75

>>66
生成サイト使えばいい

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:32:01.50

こういうの、公表されてないやつとかもあるんだろな
それもたくさん

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:33:33.35

>>66
今時ブラウザが勝手に決めてくれるだろ

そしてパソコン壊れてパスワードがわからなくなる罠w

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:36:21.57

昔ながらの古き良きウェブサイト的なのはかなりこれあるよね

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:50:12.82

>>69
了解。生成サイトですね

>>71
そういやそうでした。
あれ、無視するのが癖になってたから思い出せなかった

>>69
生成サイトはいらないです。
ブラウザが決めます

**ニューノーマルの名無しさん** · 2022/06/30(木) 11:56:56.02

またたいらのふみほじか

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:00:16.36

パスワードで入力後に記号とかを理由に拒否ってくるサイト嫌い

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:13:23.71

平文で保存するようなサイト作ってるんだから流出の経路とか調べても意味ないんじゃね
どうせザル

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:17:23.41

へ…平文…

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:25:10.07

ハッシュ化しないでそのまま保存って利用者がパス使い回ししてたら終わりやな
まあどちらも自業自得ではあるが

にしても今時有り得んレベルの低さだわなあ、大昔からある中堅どころの会社だろうに

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:34:06.00

30年ぐらい使ってそうなシステムやな

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:37:29.95

>>57
海外企業が平文で持っているかどうかはともかく、
単に暗号化しておけば済む話だ、
そこまでのコストは掛からない。

問題は、漏れた場合のリスクすら想定しない様な奴がこれを運営している事だ。
目先の金の事しか見えていない。

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:41:48.39

バカ理系だろ

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:42:43.07

●を思い出す話だ

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:47:39.72

サイトがssl化されてなかったて事？

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:49:24.52

>>75
無駄に複雑なの指定するのやめてほしいよな

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:56:51.92

ここ１０年どころか
２０年前の常識だわ

**ニューノーマルの名無しさん** · 2022/06/30(木) 12:57:49.60

>>83
全然違う

**ニューノーマルの名無しさん** · 2022/06/30(木) 13:07:25.65

IT企業の知り合いが、サーバーのデータベースにハッキングするようなレベルの連中相手に対策するだけ無駄だよ
読めない文字にしたら俺たちがメンテ作業できなくて面倒じゃんか～って言ってた
実際パスワード以外はほとんど平文なのが日本では常識らしいし、住所氏名電話番号誕生日とか個人情報は抜き放題だよ
がんばれハッカーたち

**ニューノーマルの名無しさん** · 2022/06/30(木) 13:13:10.84

>>83
SSLはサーバーまでの通信経路を暗号化すること。今回の件は例えば「passdayo」をパスワードにしてた場合、データベースに入れるときに通常はハッシュ化と言って「passday」を「8dfkrix90」みたいなランダムな文字にルールに従って変換するのが普通だけどそのまま「passdayo」を入れちゃってた。
ハッシュ化された「8dfkrix90」から「passdayo」に復元はできないけど、passdayoをハッシュ化すると必ず「8dfkrix90」になるのでログインできる。なので運営者でもパスワードはわからないので、パスワードを忘れた時はリセットするしかない。

昔はパスワードリマインダーでパスワードを送ってきたサイトもあったけど、最近はほぼリセットになってる。逆にパスワード送ってくるサイトは平文保存か、複合化できる暗号化してるのでセキュリティ的に弱い。

**ニューノーマルの名無しさん** · 2022/06/30(木) 13:14:08.93

>>66
0123456789
10桁有るから大丈夫だよ

**ニューノーマルの名無しさん** · 2022/06/30(木) 13:14:40.36

インボイス始まれば国民の１割強は、強制的に公開されるんだけどな

**ニューノーマルの名無しさん** · 2022/06/30(木) 13:32:09.02

>>90
もう尼崎市民は役所にある全データお漏らしされたから今更どうってことない

**ニューノーマルの名無しさん** · 2022/06/30(木) 14:12:15.29

あーだからここ数日フィッシングメールがやたら届くようになったのかな

**ニューノーマルの名無しさん** · 2022/06/30(木) 14:22:03.37

>>15
NTTも何たら公社の体質は変わってないから
そんなに驚きはない

**ニューノーマルの名無しさん** · 2022/06/30(木) 14:42:48.79

会員カード持ってるけどオンライン登録してなかったw
やっぱり危ないよね

**ニューノーマルの名無しさん** · 2022/06/30(木) 15:09:36.97

そもそも個人の住所や名前は個人情報なの？
個人で情報コントロールも出来ないのに？

**ニューノーマルの名無しさん** · 2022/06/30(木) 15:10:38.01

>>95
住所氏名年齢電話番号メールアドレスは個人情報には当たらないと閣議決定が必要だな

**ニューノーマルの名無しさん** · 2022/06/30(木) 15:11:55.03

昔はhotmailも全部平文だったなあ

**ニューノーマルの名無しさん** · 2022/06/30(木) 15:26:28.96

パスワードは平文で保管か
俺ですらメモ帳に書いてあるのはパスワードのヒントのみなのに

**ニューノーマルの名無しさん** · 2022/06/30(木) 15:35:56.58

平分で保存するなら最低13桁以上でないと危険

**ニューノーマルの名無しさん** · 2022/06/30(木) 17:30:11.10

個人情報とパスワードをセットで平文で保存してあるならパスワードが何桁であろうが関係ないぞ

**ニューノーマルの名無しさん** · 2022/06/30(木) 18:13:45.41

>>88
むっちゃわかりやすい説明だな
きっと優秀な人に違いない

**ニューノーマルの名無しさん** · 2022/06/30(木) 18:14:17.97

なんで平文で保管してるんだ？
暗号化するのに金かかるからケチった？

**ニューノーマルの名無しさん** · 2022/06/30(木) 18:17:48.98

日本企業はこんなのばかりｗ

**停止しました。。。** · NG

真・スレッドストッパー。。。(￣ー￣)ﾆﾔﾘｯ