ファッションや美容、健康商品を取り扱うオンラインショップ「fofo」で、外部からの不正アクセス被害が検知された。
これにより顧客のクレジットカード情報が流出した可能性が判明している。
同サイト運営のインテンス社によると、被害が判明したのは2023年9月13日にクレジットカード会社から「fofo」を利用した顧客のクレジットカード情報流出を懸念する連絡を受けたことによるもの。
その後第三者調査機関による調査で、2020年12月24日から2023年12月8日の間に同サイトで購入した顧客15,198名分のクレジットカード情報が流出した可能性が確認されている。
流出対象とされているデータには、顧客のクレジットカード番号、有効期限、セキュリティコード、会員氏名、ログイン情報などが該当するという。
攻撃者は同サイトのシステムの脆弱性を利用し、リモートのサーバー上でコマンドを実行するプログラム(WebShell)による不正操作を実行して情報を窃取していたとみられている。
インテンスは対応として、クレジットカード会社と連携した被害対象とされているカードの取引をモニタリング。
また、顧客にはクレジットカードの利用明細書を確認し、不正利用の疑いがある場合にはカード会社への連絡を求めている。
再発防止策と今後の対応として、同社はシステムのセキュリティ対策と監視体制の強化を進めており、現在被害のあったサーバーを停止されている。
新たなサイト運用に向けた対応を行っているとのことで、「fofo」の再開については決定次第Webサイトで案内される予定と説明されている。
【参考記事】
【重要】弊社が運営するショップサイト「fofo」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ