@d-mateさんのTweet*1より．似たような話は質問してたりするが… 以下はTweetの内容． 話題沸騰のエクスコムグローバルにやられた。 コールセンターで確認できたのは「セキュリティコードのサーバ保存は、カード会社の許可なく自社判断でやっていました」との…

これはすごい． 確かに「売上を落とさない」という判断は，経営判断の1つだ．でもこの会社，明らかに信用失墜してるよね．「売上落とさず信用落とす」とでもいうのか？ ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半から…

2つほどにまとめてXCOMGLOBALさんに質問をしてみたよ！ …回答来るかなぁ…．

北野さんのblogにも，似たような論点の話がかかれてたりしました．

今回のXCOMGLOBALの件は，適切な対応を行うための機能が決定的に欠けてたのではないか？と思わせるような（事実から行える推測も含む）事実の塊であった． 完全に云々というわけにはいかないだろうが，少なくともリスクマネジメント系の要員がいれば，ここま…

攻撃内容が「SQLインジェクションによる攻撃」とあるのに，「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております」という内容がいかにもこっけいである． もちろん，他の侵入経路を潰すという点では有効なのだが，SQLインジェ…

漏れた情報の特性：平成23年3月7日〜平成25年4月23日に申込のあった方々のもの 漏れた情報：名義とカード番号と有効期限とセキュリティコードと住所 セキュリティコードがなんで保存され，漏洩したのか理解に苦しむ（というか，あってはならない）． さらに…

5月15日に警察に相談＆所轄官庁への第一報とあるけど，もうちょい早く出来なかったのか？という疑念が出てくる． そして，実際に被害を被る可能性のあるユーザに対しては，実際の流出に関する疑義が提示されてから1ヶ月以上放っておかれるというていたらく．…

「4/23 23:00 クレジットカードを預からない運用に切り替え」とあるが，この時点ですでに利用した（＝カード情報を流出させられた利用者）に対するフォローアップの話はなし．さらに言うならば，実施対応策に以下のような内容があるが，これで本当に十分か？…

オレは，インシデント発生したサーバ類は，「発覚時の状態を極力保つ」という原則があると思っていたのだが，どうもXCOMGLOBAL社の常識は違ったらしい．4/23 22:00に，DBサーバからレコード類を全部削除したとのこと． えーと…保全は？ ちなみにPCFのWebサイ…

しょっぱなに「カード情報の流出懸念」とあるが，この時点ではすでにカード情報は何らかの形で抜かれ，利用された（もしくはされようとした）と考えるのが妥当である． もちろん，カード情報1つだけが使われたところで，いきなりXCOMGLOBAL社から漏れだした…

まず，これを一連のインシデントレスポンスとして見た場合，かなりダメな部類に入る． まず，時系列に並べられる事実のみを以下に抜き出してみよう． 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡 4/23 22:00 DBサーバからクレジットカード…

ここ最近，日本以外の場所に行くときは，基本はローミング（通話の場合）か現地でSIMを調達する（データ通信の場合）かという形で自分のインフラを準備しています． 例えば台湾などは，この運用で基本うまくいく． しかし，この運用ではうまくいかない土地が…

名義とカード番号と有効期限とセキュリティコードと住所…。 ものすごい設計だ…何をどうしたらここまで豪快に漏れるのか…． つうか，近年稀に見る大当たりじゃねえか！助けて！！デッカード！！！

何って…↓ もふもふ…