メッセサンオー通販、エロゲ購入者の個人情報大流出 8
852 :名無したちの午後:
一つずつ検証
3/29 月
・15:37 お客様より情報漏洩のご指摘をメールにて頂く。
恐らく、メールか電話で情報漏洩の連絡が行ったものと考えられる。
明確な日時が指定されていることから恐らくメールが送られた日時。
メールだと「知らなかった」と逃げられない証拠になるのでこの日が
漏洩認識日となる。
おそらく、この時点でまともな対応はしてなかったと思われる。
それ故、4/1夜にν速のスレ立てへ繋がるものと考えられる。
・弊社にて検索サイト経由での漏洩事実を確認する。
実際にどこまで確認していたかは不明。
・検索サイトに削除要請を出し、対応するCGIの名称変更・管理パスを変更。
4/1のν速スレで管理画面から不正ログインした形跡の書き込みが
あったことから、明らかに管理パスは変更されていなかったと見ることが
できる。(顧客管理データのダウンロード、商品価格改竄等)
また、csvファイルなど顧客情報そのものへのパスはCGIのデフォルトであり
通常のhttpで取得できる状態であった。(4/2時点でも)
3/29 月
・15:37 お客様より情報漏洩のご指摘をメールにて頂く。
恐らく、メールか電話で情報漏洩の連絡が行ったものと考えられる。
明確な日時が指定されていることから恐らくメールが送られた日時。
メールだと「知らなかった」と逃げられない証拠になるのでこの日が
漏洩認識日となる。
おそらく、この時点でまともな対応はしてなかったと思われる。
それ故、4/1夜にν速のスレ立てへ繋がるものと考えられる。
・弊社にて検索サイト経由での漏洩事実を確認する。
実際にどこまで確認していたかは不明。
・検索サイトに削除要請を出し、対応するCGIの名称変更・管理パスを変更。
4/1のν速スレで管理画面から不正ログインした形跡の書き込みが
あったことから、明らかに管理パスは変更されていなかったと見ることが
できる。(顧客管理データのダウンロード、商品価格改竄等)
また、csvファイルなど顧客情報そのものへのパスはCGIのデフォルトであり
通常のhttpで取得できる状態であった。(4/2時点でも)
|
|
|