ECサイトで 70万人余の会員の個人情報が漏洩 パスワードも「平文」で保管のため漏洩 ディスクユニオン [神★]

管理人の気になるニュース
1 : 神 ★2022/06/30(木) 09:32:57 ID: BfTVhClf9.net
「ディスクユニオン」 70万人余の会員の個人情報 漏えいか
2022年6月29日 18時25分

CDやレコードなどの専門店を展開する「ディスクユニオン」は、運営する2つのオンラインショップに登録している70万人余りの会員のメールアドレスとパスワード、それに名前や住所などの個人情報が漏えいしたおそれがあると発表しました。

(中略)

会員のパスワード 暗号化処理していない“平文”で保管
ディスクユニオンによりますと、今回漏えいしたおそれのあるおよそ70万人分の会員のパスワードは、暗号化の処理をしていない、いわゆる「平文」の状態で保管していたということです。

専門家は「情報漏えいのリスクを考えて、パスワードは、暗号化などを行ったうえで保管するべきだ」と指摘しています。

ディスクユニオンによりますと、今回、情報漏えいが起きた可能性がある2つのオンラインショップと、同じメールアドレスやパスワードで登録していた、通販サイトや音楽配信などの複数の別のサービスで、不正なログインがあったという問い合わせが、会員から相次いでいるということです。

情報セキュリティー会社によりますと、今月24日には「ディスクユニオン」のショッピングサイトの利用者のデータを入手したとする投稿が、主に海外で利用されているSNSで確認されています。

データは、およそ70万人分のパスワード、氏名、メールアドレスなどが含まれているとしていて、閲覧できる状態になっているということです。

サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「暗号化などがされていない平文のパスワードが漏えいすると、同じパスワードを他のサービスのログインに試す、パスワードリスト型攻撃に使われるおそれがある。ここ10年くらいに作られたWebサービスでは、利用者のパスワードを平文で保管しないことが常識になっており、サービスの運営者は、もしパスワードを暗号化などしていない場合は、漏えいのリスクを考えて、見直したほうがいい」と指摘しています。

一方、利用者側に対しては「複雑なものに設定したうえで、複数のサービスでの使い回しをしないようにしてほしい」と呼びかけています。
ID: G4aLUzK00.net
>>1
時代遅れではあるが、実店舗で現金決済が安心という人の主張も分かるよ
4 : ニューノーマルの名無しさん2022/06/30(木) 09:34:15 ID: uP5Jxgl50.net
素人が初心者向けの本を読みながら作ったのかな?
15 : ニューノーマルの名無しさん2022/06/30(木) 09:42:34 ID: EZ/Fe04z0.net
ドコモ口座も呆れたけど
まあディスクユニオンならこんなもんかなとも思う
ドコモはNTTに対する信頼がまだあったからな
25 : ニューノーマルの名無しさん2022/06/30(木) 09:56:58 ID: osRyODzg0.net
個人情報削除依頼した
変なメール来たら全部ユニオンのせい
34 : ニューノーマルの名無しさん2022/06/30(木) 10:17:17 ID: /fWVYhjC0.net
>> 会員のパスワード 暗号化処理していない“平文”で保管

この表現の時点でやべえ

パスワードは【ハッシュ化】な
暗号化じゃねーよ

ディスクユニオンの情報担当者の無能っぷりやべえ
40 : ニューノーマルの名無しさん2022/06/30(木) 10:28:59 ID: R8NnzFdD0.net
システムだのプログラムだの人件費だの、必要コストに金を出す事を極端に嫌うよな日本。
ID: GNhwO4Sr0.net
>>40
海外は同姓同名が多いし戸籍がない
だから個人が特定されにくい

ようは日本で個人情報を持とうとすると金かかる
日本人がケチなわけではなく高コストな仕組みとなっており負担しきれない状態
61 : ニューノーマルの名無しさん2022/06/30(木) 11:15:38 ID: G4aLUzK00.net
>>1
時代遅れではあるが、実店舗で現金決済が安心という人の主張も分かるよ
65 : ニューノーマルの名無しさん2022/06/30(木) 11:22:44 ID: x7gO76yA0.net
パスワードは8文字程度ではもうダメ

意味のないランダム文字で短いよりも、
意味のあって覚えやすい30文字がいい

「5chkaraiikagensotugyositai」みたいな
66 : ニューノーマルの名無しさん2022/06/30(木) 11:28:36 ID: vHoTjUCP0.net
パスワードを作るときっていつも悩むけど、キーボードのキーをデタラメに打つのが最善なのかな?
ID: mTrWE44m0.net
>>66
生成サイト使えばいい
ID: WDPZzFOh0.net
>>66
今時ブラウザが勝手に決めてくれるだろ

そしてパソコン壊れてパスワードがわからなくなる罠w
75 : ニューノーマルの名無しさん2022/06/30(木) 12:00:16 ID: nQAR7MoL0.net
パスワードで入力後に記号とかを理由に拒否ってくるサイト嫌い
83 : ニューノーマルの名無しさん2022/06/30(木) 12:47:39 ID: UsA+Zxx/0.net
サイトがssl化されてなかったて事?
ID: ZAmPTPOM0.net
>>83
SSLはサーバーまでの通信経路を暗号化すること。今回の件は例えば「passdayo」をパスワードにしてた場合、データベースに入れるときに通常はハッシュ化と言って「passday」を「8dfkrix90」みたいなランダムな文字にルールに従って変換するのが普通だけどそのまま「passdayo」を入れちゃってた。
ハッシュ化された「8dfkrix90」から「passdayo」に復元はできないけど、passdayoをハッシュ化すると必ず「8dfkrix90」になるのでログインできる。なので運営者でもパスワードはわからないので、パスワードを忘れた時はリセットするしかない。

昔はパスワードリマインダーでパスワードを送ってきたサイトもあったけど、最近はほぼリセットになってる。逆にパスワード送ってくるサイトは平文保存か、複合化できる暗号化してるのでセキュリティ的に弱い。
90 : ニューノーマルの名無しさん2022/06/30(木) 13:14:40 ID: 0sNkfJXv0.net
インボイス始まれば国民の1割強は、強制的に公開されるんだけどな
95 : ニューノーマルの名無しさん2022/06/30(木) 15:09:36 ID: qdveZMv50.net
そもそも個人の住所や名前は個人情報なの?
個人で情報コントロールも出来ないのに?

引用元:https://ai.2ch.sc/test/read.cgi/newsplus/1656549177/l1000

コメント

タイトルとURLをコピーしました