2019年4月12日のtwitterセキュリティクラスタ

「ななつ星in九州」の関連商品販売サイトが不正アクセスを受けて全登録者の情報が流出してしまっています。

nanatsuboshi-gallery.jp/maintenance2.h…

//
このたび、当サイト「ななつ星Gallery」( nanatsuboshi-gallery.jp )におきまして、
外部からの不正アクセスがあり、お客さまのクレジットカード情報を含む個人情報が流出したことが判明いたしました。
//
とのことでメール来ました。
ご利用履歴ある方はご確認ください。 pic.twitter.com/Weh3CSD5f3

JR九州は12日、豪華寝台列車「ななつ星」の関連商品を売る通販サイトに不正アクセスがあり、最大で2816人分のクレジットカード情報が流出したと発表した。少なくとも一人の利用者からは「身に覚えのない決済がある」とカード会社に連絡があった。 asahi.com/articles/ASM4D…

豪華寝台列車「ななつ星in九州」の関連商品販売サイトが不正アクセスを受け、情報の不正利用による被害が発生しています。クレジットカード情報が漏れたとみられるのは2816人分。
mainichi.jp/articles/20190…

ななつ星関連サイトから個人情報流出(毎日新聞) – Yahoo!ニュース headlines.yahoo.co.jp/hl?a=20190412-…
なぜセキュリティコードまでサイト内データベースで「しかも平文で」保持する必要があるんだろう?決済の度に入力させるから意味があるんだと思うが。

今回漏れたななつ星Galleryってのはグッズの通販サイトなの?別に乗客の金持ち情報が漏れたわけじゃなくて鉄ヲタ情報が漏れただけの話なのかな??

JR九州の「ななつ星Gallery」Webサイトからの個人情報流出。セキュリティコードも含めてサーバ上に保存していたっぽいけど、秘密の質問は暗号化保存されていたのになぜクレカ情報を暗号化していなかったんだろうね。

漏洩があってから批判するのは簡単なのですが、セキュリティ対策って、コストではなく、客室や接客などと同様にクオリティのひとつ。接客のクオリティをあげるようにセキュリティ対策もしてほしい。”「ななつ星」通販、カード情報流出 最大2816人分:朝日新聞デジタル” asahi.com/articles/ASM4D…

『流出した期間:2013年10月5日(サイト開設日)~2019年3月11日(サイト閉鎖日)』<セキュリティコードも含めてカード情報をサイトに保存していた可能性が高い / “通販サイト「ななつ星 Gallery」における個人情報流出に関するお詫びとご報告について | 九州旅客鉄道株式会社” htn.to/2o69kTV5Qe

まだ4月も12日になったばかりですが、4月だけで早くもカード情報漏えいリリースが4件目です(徳丸調べ)。本味主義、子供服サーカス、エコレオンラインショップ、ななつ星 Gallery(イマココ)

その他に気になったことはこのあたり。

#技術書典 #Secure旅団
様々なセキュリティのコンテンツ(FIDO/WebAuthn、Windowsアプリ解析、顔認証の実装と対策、Bluetoothパケキャプ、ポートスキャン、フォレンジッカー、Terraform)をギュッと詰め込んだ250p程の薄い電子本を出します。当日はぜひお立ち寄りください 😀
techbookfest.org/event/tbf06/ci… pic.twitter.com/nycFutCgeA

Windowsでのパスワードを完全撤廃し、Active Directoryも抹殺した

[Save the date!] CODE BLUE 2019 will be on October 29, 30 this year!
CFP&Registration date will be coming soon.

CODE BLUE 2019 日程発表!
10/28(Mon) 設営日
10/29(Tue) Day1 トーク&コンテスト&展示会
10/30(Wed) Day2 トーク&コンテスト&展示会&懇親会
※CFP&事前登録は後日発表します。 pic.twitter.com/VpzGlXhjiD

ラズパイをセキュアにするzymbit社のSecuring Raspberry Pi
zymbit.com/securing-raspb…
MicroChip社のSecure Element製品であるATECC508A or ATECC608Aが入っている。$43.00

安全な鍵管理、デバイスの完全性ができるらしい。

マイクロソフトがWindows 10をセキュア設定(SECure CONfiguration)に強化するSECCONフレームワークを公開したそうです。SECCONってどっかで聞いたことあるなぁ。。zdnet.com/article/micros…

“男は当時大学院生で、改変の手口を自身のブログで公開していたという。” / “ヤフー社員を書類送検 在学時に漫画アプリ改変疑い:朝日新聞デジタル” htn.to/MkXDW9GZGR

『弊社WEBサーバーに対しての不正アクセスがあり、Webサイトの内容の一部を改ざんされ、サイト閲覧者を別のショッピングサイトに誘導してしまう事象が発生いたしました』

株式会社NYKシステムズ
不正アクセスによるホームページの改ざんと閲覧不可に関するお詫びとご報告
nyk-systems.co.jp pic.twitter.com/DhoH6AcWQw

「捜査対象者の性癖を調べるために使われていた」とはっきり言われると怖いな。

「俺はAV(Audio/Visual)借りないから関係ない」という話にならないから(収集情報はレンタル系に限らない)、さらに怖い。

「ツタヤで借りたAV」は警察にモロバレ
president.jp/articles/-/283…

まとめを更新しました。「けものフレンズちゃんねる 管理人のツイッターに何者かが不正ログインを試みる #けものフレンズ2togetter.com/li/1337325

【短編アニメ映像 次回予告】
不正アプリによるウイルス感染の危険性について紹介しながら、騙されないためのポイントをわかりやすく解説する

短編アニメ映像第3弾「スマホによる個人情報流出編 その2」

を次週配信予定!ぜひ、見てください!お楽しみに!

【JC3】犯罪被害につながるメールが拡散中。件名は「お客様のAmazon ID情報は不足か、正しくないです。」本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報などを詐取する偽サイトです。リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma…

NTTセキュリティ・ジャパン セキュリティアナリストチームによるブログ更新です。
これまで公開してきたホワイトペーパーやツールなどを紹介しています。ぜひご覧ください。

“NTTセキュリティ・ジャパンのセキュリティアナリストによるブログコーナーが始まります。” insight-jp.nttsecurity.com/post/102fhci/n…

選挙システムへのDoS攻撃も定番の話題になってますね。KRPが調査中とのこと。 twitter.com/autumn_good_35…

パロアルトネットワークスはセキュリティープラットフォーマーになれるか japan.zdnet.com/article/351356…

多くのホテルの予約システムに情報漏えいリスク、調査で明らかに japan.zdnet.com/article/351356…

Wi-Fiセキュリティ新規格「WPA3」に影響を及ぼす脆弱性群「Dragonblood」 japan.zdnet.com/article/351356…

[ITmedia エンタープライズ]Wi-Fiセキュリティ新規格「WPA3」の脆弱性、対処するソフトウェアアップデートが公開 bit.ly/2IkigD5

[ITmedia NEWS]Amazon、「Alexa」の音声記録の一部を従業員が聞いていると認める──Bloomberg報道 bit.ly/2DadR1k

多くのホテルの予約システムに情報漏えいリスク、調査で明らかに japan.cnet.com/article/351356…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>