  |
はてなキーワード: 個人情報流出とは
俺がイジメたクソがさ、同窓会で遭った際に上目遣いで俺を睨むわけだ
ちゃんとした大学を出て将来を保障された公務員の俺を、中卒日雇い派遣のクズがさあ
ネットの嘘松武勇伝なんか、八割嘘、イジメられるゴミが成功して見返したり復讐したりなんかうまく行かねぇよ
仮に成功したクズがいたとしても、本来はイジメられる劣等である事実は揺るがない
ご主人様に遭えば半分はビビって、半分はイキり散らすからなあ
人を操る、人の上に立つ、人を力で従わせられる人間の方が長やリーダーに相応しいんだよ
むしろ劣等が殺されない、頑張ればワンチャンある先進国は優しいよな?まあ、許さないけどさ、ムカつくし
あ、ちなみに個人情報流出とか晒し上げってさ、身内やリアルの知り合いが原因な事って多いんだよねえ
あと人の噂や思い込みって結構怖いよね?やってない事までやった事に出来るんだからさ
君ら負け組ギークなナードだけじゃないんだよ、晒しと冤罪流布で他人の人生壊せるのは
ま、不登校や自殺未遂しちゃう劣等種が少ない脳のキャパでやっと考えつく事なんて、僕らはすぐに考えつくんだよなあ
某自治体内のシステムで、せっかくセキュリティを真面目に考えて作った仕組みを作ったのに、個人情報含む情報をすべてCSVにExportしてくれ、なんて。。。
個人情報流出の危険があるから、システムでの閲覧のみにしてくれ、って言ったらコレですよ。
なにに使うのか、と目的を聞いたら、何かに使うかもしれないから出しておきたいんだってさ。
セキュリティは目的とのトレードオフ、目的がはっきりしないならやるなよ。
いくら言っても折れず。
今どき外からのアクセスよりも内部犯のリスクの方が圧倒的多数なんだから、共有フォルダ管理なんて絶対にやめてくれよ。
一時期スパムメールが話題になってたけど、その頃IT系の会社で仕事してて他人事ではないと講師を招いて講義をしてもらったことがある。
確か警察のサイバーなんとか対策室って部署の元刑事で現セキュリティーソフト開発会社の人。
スパムメールでパッと思いつくのは主人がオオアリクイに殺されて1年~って感じのいかにも怪しいメールで、あんなの気をつけてれば引っかからないだろうってメールなんだけど、それは無差別型と呼ばれてて大した脅威ではないと。
一方、標的型と呼ばれる特定の人をピンポイントで攻撃するメールは、その人を調べ上げて何かの公演や会合が終わった直後に関係者のお礼メールを装って「その話を知ってるなら関係者以外にありえないだろう」という内容で送ってくるそうな。
なので、テレビでスパムメール開けちゃって個人情報流出ってニュースを見ても「あんなのに引っかかるなんてw」と思わず少しだけ同情してあげて。
MIIDASという求人サービスがあるんだけど、先月のある日、ログイン後のマイページが別人のものになってた。名前・住所・電話番号・職歴にいたるまで、完全に別の人間の情報に置き換わってた。その直後に緊急メンテナンス画面になって半日くらいアクセスできなくなったので、あれっていわゆる個人情報流出の瞬間だったんだと思う。どう見てもテスト用のダミーデータではない感じだったし。検索しても誰も話題にしてないので、何かバグの発動条件があって、たまたま私がそれを踏んでしまったんだと思うけど、緊急メンテナンスをしたってことは運営は確実に問題を把握してたわけで、未だに何のアナウンスもないのがもやもやする。DODAとかやってる大手のパーソル(旧インテリジェンス)が運営してるのに、コンプライアンスとか大丈夫なんだろうかここ。証拠がないので怪文書にしか見えないだろうけど、ネットの片隅に記録しておきます。
ZOZOTOWNにメルカリと内容は違うが大手ECサイトで最近問題が起きている。
http://tech.mercari.com/entry/2017/06/22/204500
ここでメルカリのエンジニアの方が原因を説明しているが、とても単純で御粗末な内容である。
ZOZOTOWNは毛色は違うが、前から結構酷い作りのサイトらしいし、求人も出していた。(とても求める人材が来るような給料では無かったが…)
この2社に共通しているのは社内での技術者の立場の弱さではないだろうか?
もちろん全ての技術者に冷ややかな目を向けているわけでは無く、今花形のデータサイエンティストなんて感じのビックデータで統計分析する人々は社内でも一目を置かれていそうだが、そうではないネットワークやシステムの管理運営をしている日陰な役割のエンジニアに関しては、余り良い待遇を貰ってはいないのでは無いか?
経営者陣が技術者軽視だと、自然と予算も人員も割かれず、少ないマンパワーで大規模なネットワークの保守をする事となり、並行してリプレースに向けての準備やテストを行ったりしているのではないだろうか。
そして発言権も無いに等しいので、万全を期して一時的にシステムにアクセス出来なくする事も許されずに、切り替え作業を実施させられたのでは無いか?出来るか出来ないか?の2択で問われて、嘘は言えず出来なくはないと答えざる得なかったのではないか。
と言う感じの回答を土日でかき集めたバイトに社員名乗らせて答えさせている。
今回の件について対応の是非は分からない。きっと問題直後の動向を社内のデータサイエンティストが分析して、メルカリユーザーは気にせず使ってますって事で強気にGOでも出したのではないか。
でも、技術者をないがしろにしていると、いづれ第2第3のポカミスをするだろう。まぁ、その時は求人サイトに安い給料の奴隷募集を恥ずかしげもなく出すのであろう。
妄想です。
結構出品してたりもするので、問い合わせてみたが来るのはテンプレお詫びメールのみ。それでもめげずに問い合わせたら、やっと電話番号教えてくれた。
さっそく電話すると、すぐに繋がった。さすがは、公表していない電話番号。
Q.個人情報流出についてどう思っているのか?
A.条件が条件だけに、天文学的な確率でのみ起きえた事象だと思っている。
Q.でも技術ブログで影響人数が発表されているが、あれはどういう事か?
A.影響のある人数であって、個人情報が見られたかどうかは分からない。それに口座やクレジット番号の下4桁見られても問題は起きません。
Q.では、そちらで個人情報が流出したかどうか分からないのでしょうか?
Q.原因が原因だけに、今回の件はメルカリの落ち度によるものだが、ユーザーに対しての補償は無いのか?
A.補償は考えていない。
Q.それは何故か?
A.現時点で、個人情報が盗まれて悪用されたという報告が無い為。
Q.今後も補償は行わないのか?
A.個人情報流出の連絡があり、メルカリで調査をした後に、補償を行う方向に進む可能性もある。
Q.でも、先ほどメルカリ側でも流出したか分からないと言ってましたが、ユーザーにどうやってメルカリからの流出を証明させるのでしょうか?
A.・・・
Q.今後も個人情報流出した場合には、なにか補償はあるのでしょうか?
A.今後は起きないように注意します。補償は特に考えていない。
A.まだ行っていない。1か月くらいで実施する。
Q.メルカリのミスで、一時的に他人の個人情報が見れる状態になったが補償はしない、流出したかは分からない、今後も補償は考えていないと言うが、つまりメルカリに個人情報登録しているユーザーが悪いと言う事か?
A.現時点ですと、そう言う事になります。
Q.今後、ユーザーはどうすれば良いのですか?
Q.補償はしない事や、この電話番号をHPに載せる事は考えていないのですか?
A.その予定はありません。
Q.最後に確認ですが、メルカリなんかに登録しているユーザーが悪い。と言う事で本当によろしいのですか?
A.現時点ではそう言う事になります。
個人情報保護の観点からでも問題ありそうだけど、このまま逃げ切るつもりなんだろうな。ヤフオクのプレミアム会員費がある限り安泰だろうし、情弱は今回の件なんとも思って無さそうだし。
日々の生活費のほとんどをカード決済しているヘビーユーザーです。
しかし大手企業からの個人情報流出が続く現状に、過去に仕方なくカード決済したサイトやもう使っていないサービスから個人情報を消してもらうようにできないのかと思います。
現状ではサービスや会員から退会しても退会した人として情報が残ってしまっているのではと思います(うちの会社のサービスはそうなってます。後からのクレーム対応やトラブルを回避するためという名目で)
最低限カードや口座の使い分け、個人サイトはなるべく使わない、明細の確認はしているけれど、サービスも移り変わるし、決済方法が指定されていると使わざるを得ないのが現状です。PayPalが使えるサイトばかりでもないし。このままだと情報漏洩リスクは増すばかりな気がする。
皆はどうやって管理している?
さっき突然ZOZOTOWNからメールが届いて、何かと思ったら会員登録完了のお知らせだった。
一瞬迷惑メールかと思ったが、どうも違うようだ。
最初の会員登録完了のメールには個人情報が記載されていなかったのだが、注文完了のメールには名前、住所と、当然ながら購入したものが記載されていた。
何が言いたいのかというと、僕は突然ZOZOTOWNの会員登録プロセスの不備により、見知らぬ人の個人情報を手に入れてしまったのだ。
通販サイトの会員登録プロセスは、入力したメールアドレス宛に会員登録用URLを送るものが一般的だと思っていたので、ZOZOTOWNのような大手通販サイトがこのようなサイト完結型の会員登録を行っていることに驚いた。
また、会員登録ミスの連絡をするにしても、個人情報に関する規約に同意した上で僕の個人情報を株式会社スタートトゥデイに提供しなければならないことから断念した。(フィッシングサイトである可能性が否定できないため)
スタートトゥデイの社員の方、このエントリーを見たら、5月2日0時6分にhから始まるメールアドレスで会員登録され、0時8分に衣服購入したアカウントを探して購入者に連絡してください。
もともと今週前半から怪しい日本語でこのサイト名を語るフィッシングメールが何回も来てたから漏洩は確実だったんだけど、クレカ番号まで漏洩してる人もいるとか
そもそも
画像になってんの癪なんで微妙に上のリンク先とは内容違うけど届いたメール貼っとく
====================
※本メールに対し返信することはできません。お問い合わせ窓口につきましては下記を
ご覧ください
お客様各位
弊社オンラインショップ「バンフーオンラインショップ」における不正アクセスによる
平素は、弊社オンラインショップ「バンフーオンラインショップ(以下「当サイト」とい
います)をご利用いただきまして、誠にありがとうございます。
この度、調査を実施致しました結果(第三者調査機関の調査結果も含みます)、当サイト
に対し外部からの不正アクセスがあり、一部お客様のクレジットカード情報(※)、その
他ご注文者等の個人情報が流出している可能性があることを確認いたしました。
※なお、本メールをお送りしておりますお客様につきましては、クレジットカード情報の
流出はございません。
※2016年9月17日~11月28日(第三者調査機関の調査結果に基づいて想定される最長期間)
の間に「バンフーオンラインショップ」にて商品をご注文いただき、クレジットカード決済
サービスをご利用いただきましたお客様が対象となられます。お客様は、この期間内に上記
のようなお取引はございませんでした。
お客様をはじめ、関係者の皆様方には、多大なるご迷惑、ご心配をお掛けする事態に至りま
したこと、心より深くお詫び申し上げます。このような事態となりましたことを厳粛に受け
止め、お客様にご負担をお掛けしないよう対応させていただくと共に、お客様や関係者の皆
また、第三者調査機関による調査を実施し正確な情報を把握するとともに、クレジットカード
会社や決済代行会社と連携を取り、お客様への対応に万全を期したため、本日のご報告となり
ましたことを、併せましてお詫び申し上げます。
対象となられますお客様には、本日(12月29日)、弊社よりご登録いただいています
メールアドレス宛に「お知らせとお詫び」に関するEメールをお送りしております。また、
併せまして書面を郵送いたします。
なお、本日より、本件に関する専用のお客様窓口を設置し、お電話によるお問い合わせの
受付をさせていただきます。
※※※ 本件に関するお問い合わせ専用窓口 ※※※
【期間:年内】
2016年12月29日(木) 0:00~24:00(翌日の20:00まで受付いたします)
【期間:年始】
2017年1月1日(日)~1月11日(水) 9:00~20:00
(*)2017年1月13日(金)以降の受付時間帯につきましては、HPで改めましてご案内いた
します。
本件調査結果の概要、対象となられますお客様情報及びお客様対応、再発防止策等につきまし
記
今回の外部からの不正アクセスによって、実際に流出した情報を特定することが困難なため、
その可能性を考慮し、「バンフーオンラインショップ」にご登録いただいております、全ての
バンフーオンラインショップにご登録いただいております、全てのお客様
16,084件
(対象の項目)
氏名、住所、生年月日、勤務先、電話番号(緊急連絡先を含みます)、FAX番号、メール
アドレス、暗号化された状態のログインパスワード、本人確認の質問・回答、購入履歴
2.ご案内に関する注意事項
今後、お客様にご連絡をいたしますメール、および書面において、弊社からのご案内を装った
第三者からのなりすましメールや書類が送られる可能性がございます。このため、以下の点に
(1)個人情報流出の可能性があるお客様に対しまして、本件の確認を理由に、個人情報
(氏名、住所、生年月日、勤務先、電話番号(緊急連絡先を含みます)、FAX番号、メール
アドレス、暗号化された状態のログインパスワード、本人確認の質問・回答、購入履歴)等を
お伺いすることはございません。
(2)弊社からの本件に関するメール内に、ファイルを添付して送付することはありません。
(3)弊社からの本件に関するメール内に、URLへのアクセスを求めることはありません。
(4)なお、直近になって、弊社からのご案内を装ったフィッシングメールが送られるという
ケースが発生しています。弊社が、メールにより、クレジットカード情報の入力をお願いする
ということはありません。
~お客様に、多大なご迷惑ご心配をお掛けし、大変申し訳ございません。心よりお詫び申し
上げます。
(5)お心当たりのないご不審な点等がございましたら、弊社までご連絡ください。警察や
3.不正アクセスの原因
当サイトのプログラムに脆弱性があったことが原因と考えております。
4.経緯
契約先である決済代行会社経由で、クレジットカード会社からカード情報流出の懸念がある
との連絡を受けました。クレジットカード会社から逐次情報を得つつ、クレジットカード決済
サービスを即日停止いたしました。と同時に、社内調査を開始しました。
同調査機関より、最終報告書を受領しました。外部からの不正アクセスにより、クレジット
カード情報が流出したこと及びお客様の個人情報が流出した可能性があることが確認された
旨の報告を受けました。
これを受け、クレジットカード各社等と対応を協議し、この度の公表に至りました。
5.現在の状況
決済代行会社を経由し、流出した可能性のあるクレジットカード番号を各クレジットカード
会社に連絡し、連携することで、不正利用防止に向けた監視強化を継続して実施しています。
また、弊社の所轄官庁への報告や所轄の警察への届出を済ませております。
6.再発防止のための今後の対応
本件発生を受けて策定いたしました再発防止策の概要につきましては、以下のとおりです。
~カード情報が弊社のサーバを通過せず、保存されないリンク型決済システム導入を含みます~
最後にクレジットカード決済再開の時期についてですが、所定の安全性を充たすのかを徹底
確認し、クレジットカード会社と合意のうえで決定いたしますので、改めまして、ご案内を
いたします。
改めまして、お客様をはじめ関係者の皆様方に多大なご迷惑とご心配をお掛けしておりますこと、
心より深くお詫び申し上げます。
つきましては、この度ご迷惑をお掛けしたお客様に些少ではございますが、お詫びの品といた
しましてQUOカード(500円)を書面に同封し、郵便にてお送りいたします。ご査収のほど
お願い申し上げます。
株式会社 帆風
代表取締役 犬養 新嗣
====================
QUO カード500円とか要らんわ
免許書すら持たない。
免許書不携帯で切られた事も無い。 tpoint ponta等ポイントもいらん。
無くした時のショック手間リスクなんてそのポイント分軽く吹っ飛ぶ可能性すらある。
どうせお前ら、免許書、キャッシュカード、保険証、クレジットカードもちあるいてんだろ。 以下無くした時の手間とリスク。
・免許書 【紛失後、最寄りの警察へ紛失届けを出し紛失証明書をもらい運転免許センターへ再発行手続(半日かかる) リスク:個人情報流出。他人が成り済ます事により消費者金融からの融資、携帯が勝手に契約される等】
・キャッシュカード(法人・個人)【紛失後、最寄りの警察へ紛失届けを出し紛失証明書をもらい銀行へ再発行(半月程)依頼、その間通帳を持ち歩く。】
・保険証 【紛失後、最寄りの警察へ紛失届けを出し紛失証明書をもらい総務へ再発行手続 リスク:他人が成り済ます事により消費者金融からの融資、携帯が勝手に契約される等】
・クレジットカード(法人・個人)【紛失後、カード会社へカード紛失用番号へ電話、カード停止、再発行依頼 リスク:紛失を認識するまでネット、リアルにて勝手に買い物され放題。キャバクラ行かれまくり。】
こんなのまとめて持ち歩いてまさか飲みにいったりしてないよね。
ってか免許書持ち歩かされるのとかまじ終わってる。指紋でいいだろ。
保険証も指紋にしろ、カードも。ってか暗号通貨でいいだろもう。 なんで俺がたるい組織や企業に付き合わされつつ日常おくらんといかんのだ。
Amazonカスタマーサービスが個人情報を流出させてる件が話題になってるね。
電話問い合わせとか、直接窓口に言って聞き出すのって、ソーシャルエンジニアリングの基本だけど、これ仕様バグだよね。
実は、ワシントン州シアトルあたりに住んでるEricさんの方が被害がひどい。
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.shr23h4my
これで、本人確認が終わって、最後に注文した商品と、その送り先、電話番号、ギフトカード残高が漏れてる。
(クレジットカード番号は、下2桁であっても教えてない)
http://d.hatena.ne.jp/canadie/20160125
これで、本人確認が終わって、注文の商品、その送り先(実住所)が漏れてる
そうなんだけど、漏れ方の問題で、バグってんのは「本人確認」の部分。
つまり、Amazon側も「本人だとみなすけど、この本人確認でOKなのは注文まで」という段階が有ることがわかる。
Amazonは、住所と名前とメールアドレスで、注文情報が引っ張れる。
これは、微妙なラインだけど脆弱性っぽい。そもそもログインさせるべき。
チャットがログインに誘導させるか、パスワード不明な場合は再発行させるべき。
(注文情報をAmazonがどうみなすかわかんないけど、特に電子書籍のような「今何を読んでるか」は思想信条に関わるから、結構すぐ改善されるかも)
で、こっちが判りづらいんだけど、
例えば、本名と住所Aを知ってる相手に、Amazonが住所Aを教えた。同じ住所だから、これは別に問題ない。
という点が問題。
例えば、ゆるい会社だと、職場にAmazonから荷物送ってもらってる同僚がいそうだ。
そしたら、会社の住所と、そいつの名前と、使ってそうなメアドで、自宅住所が解る。
住所Aを伝えられたら、住所Aに関わる注文だけ答えて、あとは「登録住所に到着済みです」「配送中です」だけで良いと思うんだよね。
住所Aで「本人確認OK」にして、いきなり住所Bまでバラすから問題。
ただ、「Amazonの登録住所を知ってる」というのは、ハードル高い。
それで自宅の方は知らないってかなりのレア度。だから、こっちは改善されない可能性高いと思うな。
(アメリカ滞在中に知人がホテルにAmazonから受け取ってた。自宅の住所は知らないけど、知りたい、みたいなパターン)
たぶんだけど、小売で電話応対のマニュアルをそのまんまチャット側に持ってきてるんじゃないかなー。
まあ、とりあえず彼氏彼女や妻や夫、同居の娘息子に内緒で、趣味の物品Amazonから購入してるヤツは、メアドは変えとけ、な?
昨年夏、大規模な個人情報流出を起こし巷間を騒がせたベネッセの事を覚えておいでだろうか。
問題の情報流出は、先日送付された「ちゃれんじ1年生 はてな?はっけんブック10月号」で起こった。
同号は付録として「くり上がり・くり下がり けいさんマスター」が付属しており、パスワードの入力により新たな問題を入手できる仕組み。
しかし、次号の予告がなされている48ページに次号の表紙写真が掲載されており、そこに次号で初めて公開される予定のパスワードが堂々と露出していたのだ。
これにより、多くのお友達が次号の問題を不正に入手するなどし、急速に予習が広がっているという報告が寄せられている。
増田に書くときはそれ専用のアカウントを作って、それを使ったほうがいいな。
増田に入り浸ってる人は気づいてるかもしれんけど、ちょくちょくホットエントリ入りしてる有名(?)某ブロガーが、神経質にエゴサーチしてるみたいで、その人の話題の書き込みはザクザク削除されてる。
おれもその人をネガティヴに評価してる書き込みの何気にトラバして「だよねー」みたいな同意してたら、削除依頼がきて元の書き込みもろとも削除されたわ。
で、次に特に肯定も否定もしてない(つもりの)の書き込みをしたら、それも問答無用で削除。
まあ、運営としては、ザコ増田より人気ブロガーを優先するのは正しいと思う。いちいち裁定する人的資源ももったいないし、増田は機械的に削除で。
でも、だれかブロガーの話題をここでしてたとえ悪意がなくても、ブロガー側が「これはダメ。削除」って言ったらアウトだから、念のためにアカウントは分けておいたほうが安全だと思う。
もともと増田で星やブクマを稼げても本アカウントの手柄にはならないし、万が一個人情報流出とか事故があったら増田の書き込みなんて恥ずかしすぎるから、最初から分けておくべきだったんだよな。
