ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」(2017/4/25)
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/
Struts2が危険である理由(2017/3/27)
https://www.scutum.jp/information/waf_tech_blog/2017/03/waf-blog-046.html
またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害
http://itpro.nikkeibp.co.jp/atcl/news/17/042501271/?rt=nocnt
ぴあ社がプラットフォームを提供する
B.LEAGUE チケットサイト、及びファンクラブ受付サイトへの
不正アクセスによる、個人情報流出に関するお詫びとご報告
http://corporate.pia.jp/news/files/security_incident20170425.pdf
ぴあ株式会社からのリリースについて
http://www.hot-factory.jp/notice.php
情報が発覚しだしてから、解明、公表までの期間が長すぎますね。。。
こういう場合は、信用はかなり喪失します。
開発委託先、および、開発委託元は、基本的に信用できない会社として扱われても
仕方ないかもしれません。
特に、今回の場合は、「ぴあ」(開発委託元)、ですね。
まずは、被害者に、それ相応の謝罪をすべて完了すべきかと思われます。
Twitter / あけぴ より
ということで、
・Bリーグファンクラブ決済をオンラインでされた方はハイリスクグループです。
CVVも漏れていますので、
即刻
クレジット/デビットの再発行が必要と思われます。
・チケットのサイト決済のみの方はローリスクグループになりますが、
今後不正使用の可能性は否定できません。
https://twitter.com/wolfysway/status/856839092578942976
基本的には、なるべく早く、事情を説明して再発行手続き、という流れ、
ですね。
大河チェアマン「体制見直す」=会員情報流出で謝罪―バスケットBリーグ
https://headlines.yahoo.co.jp/hl?a=20170425-00000110-jij-spo
「 大河チェアマンは「Bリーグには管理、監督責任がある。再発防止のため、
システムの専門家に意見を聞き、監査体制を見直す」と述べた。 」
どうするんですかね。。。
セキュリティを理解した会社にシステムを作らせて、あとは、日々、セキュリティ
チェックをする、に尽きるにしても、それを「ぴあ」ができるわけでもないし、
また、委託先に任せるわけだから。
システムの専門家が、きちんとした開発先と運用先を提言する、ということになる
んでしょうかね。
エンタテインメントの前に、(Bリーグ自体が)企業として、基本的な部分を提供
できなくて、お客様をかなりの危険状態に置いた、ということなので、相当な問題
かとは思います。
まぁ、被害が620万円なら、いいのかもしれないけど、これからも、不正利用は
続いていくのかもしれませんし。
結構、考えているよりも重大かと思います。
ぴあ社の情報流出について大河チェアマンが緊急会見「皆さまが安心してご利用いただける環境を作る」
https://headlines.yahoo.co.jp/hl?a=20170425-00012154-bballk-spo
B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、
個人情報流出に関するお詫びとご報告
https://www.bleague.jp/news/23536.html
Apache Struts 2の脆弱性を突かれて不正アクセス、
都税支払いサイトなどからクレジットカード情報72万件が流出した可能性(2017/3/12)
http://internet.watch.impress.co.jp/docs/news/1049261.html
日本郵便、Apache Struts2の脆弱性の影響で最大2万9000件の情報漏洩(2017/3/15)
http://news.mynavi.jp/news/2017/03/15/084/
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/
Struts2が危険である理由(2017/3/27)
https://www.scutum.jp/information/waf_tech_blog/2017/03/waf-blog-046.html
またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害
http://itpro.nikkeibp.co.jp/atcl/news/17/042501271/?rt=nocnt
ぴあ社がプラットフォームを提供する
B.LEAGUE チケットサイト、及びファンクラブ受付サイトへの
不正アクセスによる、個人情報流出に関するお詫びとご報告
http://corporate.pia.jp/news/files/security_incident20170425.pdf
ぴあ株式会社からのリリースについて
http://www.hot-factory.jp/notice.php
情報が発覚しだしてから、解明、公表までの期間が長すぎますね。。。
こういう場合は、信用はかなり喪失します。
開発委託先、および、開発委託元は、基本的に信用できない会社として扱われても
仕方ないかもしれません。
特に、今回の場合は、「ぴあ」(開発委託元)、ですね。
まずは、被害者に、それ相応の謝罪をすべて完了すべきかと思われます。
Twitter / あけぴ より
ということで、
・Bリーグファンクラブ決済をオンラインでされた方はハイリスクグループです。
CVVも漏れていますので、
即刻
クレジット/デビットの再発行が必要と思われます。
・チケットのサイト決済のみの方はローリスクグループになりますが、
今後不正使用の可能性は否定できません。
https://twitter.com/wolfysway/status/856839092578942976
基本的には、なるべく早く、事情を説明して再発行手続き、という流れ、
ですね。
大河チェアマン「体制見直す」=会員情報流出で謝罪―バスケットBリーグ
https://headlines.yahoo.co.jp/hl?a=20170425-00000110-jij-spo
「 大河チェアマンは「Bリーグには管理、監督責任がある。再発防止のため、
システムの専門家に意見を聞き、監査体制を見直す」と述べた。 」
どうするんですかね。。。
セキュリティを理解した会社にシステムを作らせて、あとは、日々、セキュリティ
チェックをする、に尽きるにしても、それを「ぴあ」ができるわけでもないし、
また、委託先に任せるわけだから。
システムの専門家が、きちんとした開発先と運用先を提言する、ということになる
んでしょうかね。
エンタテインメントの前に、(Bリーグ自体が)企業として、基本的な部分を提供
できなくて、お客様をかなりの危険状態に置いた、ということなので、相当な問題
かとは思います。
まぁ、被害が620万円なら、いいのかもしれないけど、これからも、不正利用は
続いていくのかもしれませんし。
結構、考えているよりも重大かと思います。
ぴあ社の情報流出について大河チェアマンが緊急会見「皆さまが安心してご利用いただける環境を作る」
https://headlines.yahoo.co.jp/hl?a=20170425-00012154-bballk-spo
B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、
個人情報流出に関するお詫びとご報告
https://www.bleague.jp/news/23536.html
Apache Struts 2の脆弱性を突かれて不正アクセス、
都税支払いサイトなどからクレジットカード情報72万件が流出した可能性(2017/3/12)
http://internet.watch.impress.co.jp/docs/news/1049261.html
日本郵便、Apache Struts2の脆弱性の影響で最大2万9000件の情報漏洩(2017/3/15)
http://news.mynavi.jp/news/2017/03/15/084/