「世界を解き放つ」を企業理念に掲げるメタップスが46万件のクレカ情報を世界に解き放つ痛恨のミス

SQLインジェクションはこんなに有名なのに、まだ試してみる価値がある攻撃なんだなー。

あかん

引用：22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。

起こった原因の中身がしょぼすぎるのと、影響がでかすぎてヤバい。
すでに事例としては今年最大レベル内定。

タイトルに『やられ放題』まで書かれるとは、何事!? と思って読んだら、うーむ、これは確かに……。それだけに隠さず公表した点には敬意を表したい（一方で、なぜここまでやられてしまったのか、とも思います）。

これかなりヤバいな、、クレジットカードのセキュリティコードって普通保存しとくもんなのかな🤔

ロシアにやられたのか？

【カード決済基盤】

ちょっと（かなり）ガバガバすぎへん？

いやいやｗｗPCIDSSどうしたんだよｗｗ
ペネトレーションテストもしてるはずなんだけど・・・🤔
SQLインジェクションとかは問題外だなぁ。。

しかもセキュリティコードを保存しちゃあかんやろｗｗ

割と問題だと思うのだが、ロシア問題がでかすぎて扱いが大きくないな／

通販とかするもんじゃないね、恐ろしい恐ろしい。

これ、かなりな出来事では？

あっさりニュース出てるけど、これ結構大ごとのような→

👀.oO( Oh... )
▶︎

システムのレベルが低すぎて何も言えない

いくつかの映画館でオンライン購入ができなっていたけど思った以上に大変なことに

これはやばいとかいう次元では無いインシデントだ

セキュリティコード
セキュリティコード
セキュリティコード

やられ放題って…
怖いなぁ…😢

いかつい…。昨年(多分)別の決済サービス？利用店から流出でカード会社から連絡来たんだけど、こういうのはユーザー側かは選べないし分からないから、どうしようもないよね…？

| おおお〜〜〜！！！

やられ放題(*ﾟーﾟ)！利用履歴をチェックしましょう。

サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった

散々だな☹️

いかつい

セキュリティコードを保存する必要のない中継サービスだと思うけど。コミケ99のチケットとか立川のシネマシティとか影響するのかな。

メタップスメタップスメタップス
ばーにらー

こういう事あるからネットのカード決済こわいんだわぁ～・・・

をををい、"セキュリティコードなどが流出"？？なぜ保存したし…。

酷でぇ

決済システムでこんな杜撰なシステムを使ってたことに驚愕。
セキュリティコード保持してるとかSQLインジェクションとか😵😵😵だよ。

これこれ。私の情報も流出したやつ。不正利用の検知もこの間来たよー。(すでに停止してたので被害はなし)

よくわからないが、とことんやられた感じに見える。どうやって後片付けするんだろう。

マジかよこれ。日本赤十字社とかがここを使っていたらしい。＞

>映画チケットサイト「CINEMA CITY」など。

ARIA とかアイ歌みてる人達注意では…

清々しいほどのやられっぷり

イベントペイが使ってるところだから学会参加費とかクレカで払ったてたら流出してるっぽい

こんなヘボ業者にやらせるなよ

SQLインジェクションでクレカ情報流出か・・使ってるサービスがメタップス使ってなければ良いのだけど。

はい！？

あーあ！

メタップスの不正アクセス問題。

昨年21年12月に、クレジットカードの不正利用が懸念されている連絡を受けているのに、対応に遅れ。

クレジットカード決済基盤を提供している企業としては無責任。国の監査機能は？

メタップス、不正アクセスやられ放題

これはひどい。しかも「実際に流出した情報を特定できない」と……。覚えのある方はカード会社に電話してカード番号変更のご相談を＞

これが日本のIT事情彡(゜)(゜)

こえ〜よ〜…

ITmedia:

「不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった」

知っている単語がいっぱい並んでいる。

クレジットカード決済基盤をサービスプロバイダとして提供している企業がこの規模でやらかしてしまうと疑いの目で見てしまう。

>不正アクセスやられ放題
って、ちょっと、その言い方よ。

やられサーバ並にやられてる…

わーお

どういうことなの……。

バックドア仕込まれるとか、クレカとかやったらダメなんじゃない？

滋賀県のプレミアム付きデジタル商品券「ここクーポン」利用者のカード情報がダダ漏れになった件です

自分が利用してるお店やサイトがどこのサービス利用してるかなんて全て把握は出来ないしなあ。お漏らしされてそう。

オンライン決済サービスからのクレカ情報流出は犯罪過失含めて絶えないけど、毎度毎度保存してはいけないCVVを保存している決済サービスも無くならない。 ITmedia -

PCIDSSとは何であったか。。

勘弁して

これはまたなかなか……

決済システム提供する会社がクレカのセキュリティコード保持してSQLで抜かれるなんて話がこの時代に

”「実際に流出した情報を特定できない」（メタップスペイメント）ため、数値は考えられる最大値という”

”流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。”

メタップス、メッタメタ……
セキュリティコードまで流出してるし

シネマシティによると
>※「前回のカードで決済する」ボタンでご予約いただいたお客様、会費の自動更新のお客様は含まれません。

を見た時にカード有効期限を更新したから該当かな

これー

やられ放題って・・・

これはやばい…

カード番号16桁全部は照合のために、というのはわからんでもないけど、セキュリティコードってこのご時世に保存するもんなん？

私も問題の期間にシネマシティで決済に使ったカードが知らない旅行会社で不正利用をやられましたので、明細を確認することを強くお勧めします

なにこれ、酷すぎでしょう

カード番号とかそのまま保持していたのか？
普通少しぐらい暗号化とかするだろ。
意味ないかもしれんけど。

おうおうまじか。

まさかセキュリティコード保持してたんか？

うげーっ(^_^;)

ぐぅあああああ

最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した
SQLインジェクション攻撃はあかんよ。

PCIDSS認証ってクレジットカードのセキュリティコードの保存認めてたっけ？

こりゃ心配なニュース。

ココんちの決済システムつかっているサイト、チェックしたいので一覧でほしいわ

やばすぎ案件

WooCommerce、EC-CUBEなど利用のECサイトで導入してるケースはありそうだね。導入加盟店は積極的に顧客に注意喚起してほしい。

これは怖すぎる
自社サービスへの教訓として改めて徹底しよう

■ SQLインジェクション攻撃
ライブラリの最新化
レビューの徹底
セキュリティテストの実施

■ 社内システムへの不正ログイン
社内システムアカウントの管理体制の見直し

やられ放題て。

利用者は決済代行会社を選べないの辛いよね(´・ω・`) せめて表示して欲しい。

■

セキュリティコードってサーバーで持っていて良いんだっけ？

おお。。これは辛い

実際の流出数が利用者数と比較してかなり少ないのでDBから抜いてきたんじゃなくて、トランザクションの盗み見かな。

これ日本赤十字のWeb決済基盤だったのか……トンガやウクライナがらみで使った人多いのではなかろうか。

大企業だから安心…なんて事はない(一般論)

>

自分が認識していないところでこれ使ってないか心配になってきた…

これ自分が該当してるか調べるのどうやるの

今時SQLインジェクションはひどすぎる

日本赤十字社への寄付金、献血は注意⚠️




日本赤十字社でクレカ情報最大約5000件流出の可能性 メタップス不正アクセスに巻き込まれ

やられ放題・・・

流出件数そのものは意外と少なめ?「21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件」

え…これかなり……

思ったより色々やられてて草、これが決済事業社のやられることかよ

信用がメタメタッｐ

"クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）"

このような事が有るから、ネットでの決済でクレカは使いたくないのよね〜😞やはりいつもニコニコ現金払いが安心や

凄まじいデタラメぶりだけど、そもそもこれだけじゃ、自分にもリスクがあるのかどうかすらわからないわけで…

メタップスの流出事故，あり得ないレベルなんだけど，どうしてここまでスカスカ？

メタップスの巻き込み事故…

『日本赤十字社でクレカ情報最大約5000件流出の可能性 メタップス不正アクセスに巻き込まれ』