“不正アクセスによる情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、当サイトでクレジット番号を入力されたお客様の情報です。”
ふわっとしてたここがはっきりしてよかった >情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、当サイトでクレジット番号を入力されたお客様の情報です
クレカはチャージバックができるのが売りというか、できないならそんなとこのは二度と使わねえってなるだけやし、個人情報の方がどうしようもないやろ
セキュリティコードも流出していたってことなので、やはりデータベースからの漏洩ではなく、10日あまりの間に入力した人がってことか。漏洩件数においては想定よりは減りそうか。
テスト
もはやクレジットカード情報は保管しておいて都度入れない方が安全かもしれんな
『A.ご安心ください。本件は、弊社の公式サイト「駿河屋.JP」のみに発生した事案です。』の勢いが、その公式サイトに載っている文としては面白いというか。
検証環境で貼って表示確認してから本番にも「テスト」って字がついたまま貼ってしまったのか?
もう自社サイトでクレカ入力画面を作るのはやめた方がいいと思う。クレカ決済サイトへ遷移して決済が完了したら自社サイトへ戻る方式にしておけば、今回の件でもクレカの情報が全て流出する事はなかった。
お詫びとお知らせと言ってみるテスト
テストの文字はすぐに消えてたから、この件に関しては駿河屋のミスというよりは、最初のブックマークが異常に早かったのだと思う、よく見つけたなと。
注目度高いサイトだからすぐ見つかっちゃうテスト
うんこ) ってつけなかっただけえらい
id:entry:4774386835168401281続報。7月24日1時ごろ~8月4日16時ごろまでにWeb直接入力でクレカ決済した人はスキミングされていた。そこで入力した情報は全て外部送信され漏洩していた、と。
別のサイトにクレカ情報を入力する方式にしてもURLが改竄される危険性があるからそもそもサイトが弄られるのか根本原因だよなぁ
個人情報の保護は重要ですわね。お詫びと対策をしっかり行うことが大切ですの。
この時期は使ってないけど、そもそも駿河屋はPayPayとPayPalでしか使ってなかったから良かった。直にクレカの番号を教えるのはやっぱリスクが高いね。
これも改ざんされてるとこは直しましたーって書いてあるけど、どこからどうやって侵入されたとか塞いだとか一言も書いてないし、穴が開いたままかもしれないシステムをしれっと提供し続けるのは不誠実だよなあ
「情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃まで」やばばばモロやってもたー!と思ったらPayPal決済だったのでセーフ。ていうかなんで5日も様子見とんねんアホか。
“後の調査で、7月24日の午前1時頃に...その後、社内での調査を進める中で、8月4日にこの不正なプログラム”結局「なんらかの漏洩があった事」はいつ発見したんだろう?侵入経路も特定/対策済みなのか不明だな...
数年前に別のECサイトで同じ手口の被害に遭った。その時は利用してるjsパッケージにコードが仕掛けられたいわゆるサプライチェーン攻撃だったけど。
6月に久しぶりに駿河屋で購入しててニアミスだった…あぶねぇ… (クレカ情報は面倒だけどアカウントに保存せずに毎回打ち込んでる)
改ざんされた原因が分かっているか書いてない。脆弱性なのか、クレデンシャル漏えいからの不正アクセスなのかなど、侵入経路が分かった上でサイト再開してるなら良いのだが。そうでないなら何か仕込まれているのでは
“A.ご安心ください。本件は、弊社の公式サイト「駿河屋.JP」のみに発生した事案です。” 詫び文として秀逸。恐ろしくて自分には絶対書けない。
カード情報非保持化しててもこういうのがあるから怖いね。決済代行会社の漏洩事案ってあったかな?無いなら今のところ非保持化と改ざん検知がんばってもらうのが一番よいのでは。
よかったセーフだ。
サイト自体が改ざんされちゃったらなぁ…。
該当期間中に買い物してるなあ…クレカ登録してたから直でセキュリティコードは入力してないけど…
手籠にされる前の状態にプログラムおよびサーバを差し戻し、セキュリティホールを塞ぐ対応を行いました。なら分かるんだけど、なぜ改竄されたプログラムの修正だけ?
第三者不正アクセスによる個人情報漏えいに関するよくあるお問い合わせをまとめました
“不正アクセスによる情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、当サイトでクレジット番号を入力されたお客様の情報です。”
ふわっとしてたここがはっきりしてよかった >情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、当サイトでクレジット番号を入力されたお客様の情報です
クレカはチャージバックができるのが売りというか、できないならそんなとこのは二度と使わねえってなるだけやし、個人情報の方がどうしようもないやろ
セキュリティコードも流出していたってことなので、やはりデータベースからの漏洩ではなく、10日あまりの間に入力した人がってことか。漏洩件数においては想定よりは減りそうか。
テスト
もはやクレジットカード情報は保管しておいて都度入れない方が安全かもしれんな
『A.ご安心ください。本件は、弊社の公式サイト「駿河屋.JP」のみに発生した事案です。』の勢いが、その公式サイトに載っている文としては面白いというか。
検証環境で貼って表示確認してから本番にも「テスト」って字がついたまま貼ってしまったのか?
もう自社サイトでクレカ入力画面を作るのはやめた方がいいと思う。クレカ決済サイトへ遷移して決済が完了したら自社サイトへ戻る方式にしておけば、今回の件でもクレカの情報が全て流出する事はなかった。
お詫びとお知らせと言ってみるテスト
テストの文字はすぐに消えてたから、この件に関しては駿河屋のミスというよりは、最初のブックマークが異常に早かったのだと思う、よく見つけたなと。
注目度高いサイトだからすぐ見つかっちゃうテスト
うんこ) ってつけなかっただけえらい
id:entry:4774386835168401281続報。7月24日1時ごろ~8月4日16時ごろまでにWeb直接入力でクレカ決済した人はスキミングされていた。そこで入力した情報は全て外部送信され漏洩していた、と。
別のサイトにクレカ情報を入力する方式にしてもURLが改竄される危険性があるからそもそもサイトが弄られるのか根本原因だよなぁ
個人情報の保護は重要ですわね。お詫びと対策をしっかり行うことが大切ですの。
この時期は使ってないけど、そもそも駿河屋はPayPayとPayPalでしか使ってなかったから良かった。直にクレカの番号を教えるのはやっぱリスクが高いね。
これも改ざんされてるとこは直しましたーって書いてあるけど、どこからどうやって侵入されたとか塞いだとか一言も書いてないし、穴が開いたままかもしれないシステムをしれっと提供し続けるのは不誠実だよなあ
「情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃まで」やばばばモロやってもたー!と思ったらPayPal決済だったのでセーフ。ていうかなんで5日も様子見とんねんアホか。
“後の調査で、7月24日の午前1時頃に...その後、社内での調査を進める中で、8月4日にこの不正なプログラム”結局「なんらかの漏洩があった事」はいつ発見したんだろう?侵入経路も特定/対策済みなのか不明だな...
数年前に別のECサイトで同じ手口の被害に遭った。その時は利用してるjsパッケージにコードが仕掛けられたいわゆるサプライチェーン攻撃だったけど。
6月に久しぶりに駿河屋で購入しててニアミスだった…あぶねぇ… (クレカ情報は面倒だけどアカウントに保存せずに毎回打ち込んでる)
改ざんされた原因が分かっているか書いてない。脆弱性なのか、クレデンシャル漏えいからの不正アクセスなのかなど、侵入経路が分かった上でサイト再開してるなら良いのだが。そうでないなら何か仕込まれているのでは
“A.ご安心ください。本件は、弊社の公式サイト「駿河屋.JP」のみに発生した事案です。” 詫び文として秀逸。恐ろしくて自分には絶対書けない。
カード情報非保持化しててもこういうのがあるから怖いね。決済代行会社の漏洩事案ってあったかな?無いなら今のところ非保持化と改ざん検知がんばってもらうのが一番よいのでは。
よかったセーフだ。
サイト自体が改ざんされちゃったらなぁ…。
該当期間中に買い物してるなあ…クレカ登録してたから直でセキュリティコードは入力してないけど…
手籠にされる前の状態にプログラムおよびサーバを差し戻し、セキュリティホールを塞ぐ対応を行いました。なら分かるんだけど、なぜ改竄されたプログラムの修正だけ?