サウンドハウスでSQLインジェクション…

普段レコードとかで音楽聴く人は、サウンドハウスでもの買ってる人も
多いんじゃないかと思います。

「サウンドハウス」のショッピングサイトからカード情報流出の恐れ
だそうです。

以下、サウンドハウスホームページより

2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数122,884件の内、
最大97,500件まで下記のデータが流出した可能性があります(内カード情報保有データ27,743件)。

・お名前
・フリガナ
・性別
・生年月日
・ログイン用メールアドレス
・ログイン用パスワード
・クレジットカード情報 (ご名義 /カード番号 /有効期限)
注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していない為、流出の危険はありません。
また、ご住所、お電話番号に関しては、調査の結果、流出の形跡はございませんでした。

おめーカード番号と有効期限知られちゃったら、
ネットでカード決済できちゃうじゃん!っていう。

もし、ログイン用のメアドをパスワードを他サイトと同じにしてたら
その人どーすんだよ。

お願いだからパスワードのハッシュ化くらいはしていて欲しい。
平文で保持する必要があるならその理由を教えて欲しい。

で、続き


セキュリティ対策を専門とする第三者機関からの提案に基づき、以下を実行しました。

・WEBシステム構成の再設計
・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置
・24時間体制の不正アクセス監視
・ファイヤーウォールのアップグレード
・不正プログラムの除去
・データベースからカード情報を削除

WAFとか入れたんだろうか。。

つか、プレースホルダーくらい使って欲しいっす。。。

昔メインカードとして使ってて、
今は保険の支払いにしか使っていないカードがあるんだけど、
保険の支払いを別のにして、解約しようかな。。

どこで情報漏れてるかわからないし。。。

コメント

タイトルとURLをコピーしました