Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 10
ストーリー by headless
後手 部門より
後手 部門より
あるAnonymous Coward 曰く、
GMOペイメントゲートウェイは10日、同社が運営を委託されている東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」がApache Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件のクレジットカード情報が流出した可能性があると発表した(不正アクセスに関するご報告と情報流出のお詫び、 NHKニュースの記事、 ITproの記事、 ITmediaビジネスオンラインの記事)。
同社はIPAとJPCERTが相次いでApache Struts 2の脆弱性に対する注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、不正アクセスの痕跡が確認されたという。都税サイトではクレジットカード番号と有効期限が最大67万件以上、住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコードや住所・氏名・電話番号・生年月日など最大4万件以上が流出した可能性がある。決済サービスからの漏洩ということで範囲が大きくなっているようだ。
Apache Struts 2の脆弱性S2-045が最初に公表されたのは3月2日。7日には既にエクスプロイトが出回っていたようだ。
はいあうと~ (スコア:0)
>住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコード
セキュリティコード漏洩は言い訳がきかぬ。
いつも思うのだけど (スコア:0)
なぜ、保存しないはずのセキュリティコードが流出とかされるのだろう。
システム組むときに、誰も注意しないのだろうか。
Re: (スコア:0)
保存してなくても入力フォームに攻撃者のサイトに入力内容を送信するJavaScriptを埋め込まれたりしたら普通に漏れる。
あとはバックエンドの決済システムへ入力されたカード情報を流す部分に細工されるとか。
ただ、今回の場合はすぐに具体的な数字が出てるので、ガチで保存してたっぽい気がするけど。
Re: (スコア:0)
費用は住宅金融支援機構へ請求となるのだろうね
Re: (スコア:0)
1枚再発行で1000円かかるから人件費と送料と合わせて5000円として36億円ね
ボーナス返上でよろしく
Re: (スコア:0)
パスワード平文よりひどいというか、故意を疑うレベルですね。
脆弱性アナウンスにも問題がある (スコア:0)
「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。
ヤバさがちゃんと伝わってないよ。。
とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。
Re: (スコア:0)
そもそも開発者がこんなん
https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html [scutum.jp]
保存するつもりはなくても (スコア:0)
DBには保存してなくても、ついログに出力しちゃってたりする事もあるから
ほんと気をつけないとだめだよね。
うっかりどっかに残ってしまうのを防ぐアイデアってあるんだろうか。
SQLインジェクション防ぐならプリペアードステートメント使うのがセオリーとか
XSS防ぐならテンプレートエンジンを正しく使うとか
そんなノリで。