個人情報漏えいの概要
2023年8月21日に株式会社HUGE(以下、同社)は自社が管理する顧客管理システム「The HUGE CLUB(以下、同サイト)」で不正アクセスが行われ、約9万7,000人分の個人情報が流出した可能性があるということを発表しました。
個人情報漏えいの詳細と原因
個人情報漏えいの詳細
HUGEは、2023年8月6日に「The HUGE CLUB」のサーバーでトラブルが発生したという。その後の調査で第三者が開発中のサイトから「The HUGE CLUB」のサーバーへ不正にアクセスしサーバー上のユーザー情報を一部削除していたと公表。削除と共にそのデータを持ち出している可能性もあり今回の発表をしたとのことです。漏えいの可能性がある対象は2021年6月15日から2022年9月19日の間でThe HUGE CLUBに登録したユーザー96,938人にのぼるとのこと。
個人情報漏えいの原因
現在、特定できている原因としては同サイトと連携する予定の開発中ECサイトからTHCサーバーのアクセス情報が盗まれTHCサーバーへ侵入されたと予想されています。
今後の対応
流出した可能性がある情報には名前、電話番号、メールアドレス、生年月日、性別、予約記録、ポイント履歴が含まれますが、クレジットカード情報は含まれていないとのことで、同社はユーザーに対して同社の名前を騙った電子メールへの注意を喚起しながら現在、外部のエキスパートを動員して事態の詳細を調査を続けるとのことです。
まとめ「脆弱性診断の頻度は毎日診断がベスト」
今回の事例は、「開発中のECサイト」がターゲットとなったケースになります。今までは「サイトのリリース前に脆弱性診断を実施していれば大丈夫」という認識が一般的でしたが、今回のような事例を考えると開発中にクリティカルな問題があるようであればすぐに対応する必要性があることを教えてくれました。
secuasは開発中のサイトも本番環境のサイトでも毎日診断することでリスクが発生した時点で即時検知、即時通知が可能になります。今までのセキュリティの常識に囚われず、安全なサイト運営を実現しましょう。
[この記事と関連する記事はコチラ]