やりやがったな
情報流出が確認された会員様には別途、個別にご連絡を差し上げております。
※このメールを受信された会員様は対象ではございません
いや、アウト
これ本人確認の要素含んでるから金融機関や行政機関で等で本人になりきる事ができるんよねえ
かなりやばいですよ
だねえ
これかなりヤバイ
住所氏名性別生年月日これだけ判ればいろいろ出来ちゃうぞ
まさかメーラーのパスを生年月日にしてる情弱は居ないよな?
メールアドレス)が含まれておりましたことから、流出の対象となった会員様にお詫びとご報告のメールをいたした次第です。
一般公開されてた~ww
My Yupiteruと同じにしてて心配なのでログインパスワードとメールアドレスを両方共に変えたけど
お詫びメール来てた
パス変えたえど不安はあるなぁ
流出の対象となった会員様に、
お詫びとご報告のメールをいたした次第です。
どうやら対象らしい。。。
俺もLei信者だからといって笑ってすませられる話ではないな…
再発防止はともかく今回についての対応はまだ明らかになってないし…
他の男の気配とか感じさせちゃうって、最悪じゃん。
参考元:【霧島レイ】ユピテル Leiシリーズを語るスレ 45
https://medaka.5ch.net/test/read.cgi/car/1616831022/
つまり、この流出データが性風俗業界に渡ったと仮定すると、
おれの行きつけの店やオキニ嬢ちゃん達に俺の住所、氏名、性別、生年月日、メールアドレスが全部バレると・・・
胸が熱い
刑務所に入ってたのかな
例えば抜いて売るブローカーが居たとして買ったやつが脅してるとかな
案内があってから変えた方がいいかな
お漏らししていても今更変えてももう遅い
漏洩情報にログインパスワードが書いてないんだけど
パスは漏れてないって認識でいいんかね?
メアドは過去によそでも漏れてるやつだし、今更だわ。
会員様各位
平素は、「My Yupiteru」をご愛顧賜り、厚く御礼申し上げます。
このたび、弊社が運営しております会員サイト「My Yupiteru」の会員様情報の
一部流出を確認いたしました。
会員様には多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。
流出が確認された情報は、一部の会員様の個人情報(住所、氏名、性別、生年月日、
電話番号、メールアドレス)であり、クレジットカード情報は含まれておりません。
情報流出が確認された会員様には別途、個別にご連絡を差し上げております。
※このメールを受信された会員様は対象ではございません
これと
平素は、「My Yupiteru」をご愛顧賜り、厚く御礼申し上げます。
このたび、弊社が運営しております会員サイト「My Yupiteru」の
顧客データに外部からの不正アクセスがあり、お預かりしておりました
個人情報の一部が流出していることが判明いたしました。
流出が確認された情報には、個人情報(住所、氏名、性別、生年月日、電話番号、
メールアドレス)が含まれておりましたことから、流出の対象となった会員様に、
お詫びとご報告のメールをいたした次第です。
※流出した情報にクレジットカード情報は含まれておりません
>>2017年10月以前に登録された会員様が対象
お客様には多大なご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。
本件に関しまして、現時点で判明している状況、経緯及び今後の対応等について、
弊社ホームページにてご報告いたしますと共に、重ね重ね深くお詫び申し上げます。
このふたつ
いや、うちに来たのもその2通目と同じメールなんだけど
流出情報にパスワードは載ってないじゃない?
ユーザデータのサーバの情報丸ごとごっそり持ってかれたけど
認証サーバは別でパスワードはそっち保存だったから大丈夫なのか
俺も素人でよくわかんないだけど、なんで流出情報に
パスワードが載ってないのやら。
メルアド住所電話番号生年月日まで漏れてたら他のサービスで本人確認出来ちゃう所多いだろ
漏れたメルアド破棄しないとアカウント乗っ取られるぞこれ
4年近く放置プレイしていたんだから実害がある人には既に何かしら起きていてもおかしくない
こうなるまでの経緯を見たがとメーカー側も甘いというか杜撰だなと思う
正直気分悪い
つい最近ECサイトの脆弱性診断受けたばかりなので興味あり
2017年に漏洩無しって判定した業者どこだろ?
証明書発行してるような有名どこだったりして
この会社やばすぎだから早速退会して、個人情報抹消してほしいんだが
どうしたらいいんだ?
sage
抹消したところで後の祭りだし
確実に抹消したかどうかの確認も取りようが無い
コソッとwebだけに載せて報道機関へは連絡して無いとか・・??
名目はバースデーメール送るため
こんどからこの手の会員はデタラメ入れることにした
マイユピテルで登録情報みると覚えてないけど携帯番号もずらしてたw
はなから信用してなかったのだろうということと、サービスを受けるのに必要ないと考えたんだも思う
・パスワードは流出していない
・パスワードは平文保存しておらず、暗号化して保存している
・暗号化方式はセキュリティ上申し上げることはできない
・HP上にパスワードを変えてくれと案内しているのはあくまで一般的な対応としてであり、パスワードが漏れたからではない
・報道機関へのプレスは 6/8読売・朝日・毎日・日経の朝刊に載っている
・他のネットサイトへのプレス予定は現時点では無い
・詫び補償なし
ハッシュ化は暗号化とは違う(暗号は復号ができるがハッシュ化は不可)のだが、テレアポには通じないだろうからスルーした
質問のたび保留し待たされた。上の質問なんか一番想定しうる内容だろうに回答ぐらい用意しとけと思った
問い合わせ乙っす
パスワード変更どうしようかな
一応やっておいた方が無難かな
振り返ってみると昨年はWebセキュリティー強化で
無線LAN経由のSDカードからデータダウンロードが行えないこともあったよね。
あの時も事態が改善するまでの対応がかなり遅かった。
レスポンスが生命線のはずなのに放置主義や隠ぺい主義が会社姿勢なのかな。
そう思いたくなるレベルだよ!
しかも探知機メーカーなのに
不正アクセスを探知対応できなかったとはこれいかに!
参考元:【ユピテル専用】レー探スレッド★111
https://medaka.5ch.net/test/read.cgi/car/1619733013/
感情的になりすぎて棘のある発言が多かったため、慎重にレスは選ばせていただきました(*- -)
個人で対応できる事
今回情報が流失してしまった情報を使用してパスワードを設定されている方は、出来るだけ「My Yupiteru」及び「霧島レイCLUB」の会員情報ページからパスワード変更を行ってください。
こちらに関しては、そもそも誕生日などすぐに判明される情報をパスワードに使用するのは危険な事だという事を再認識していただけますと幸いです(*- -)
「My Yupiteru」パスワードを変更した場合、「無線LAN対応SDカードを使用して更新」を行ってた方はレイたん本体側でもパスワード変更が発生しますので注意してください。
あとは落ち着くことだと思います。今回は恐喝事件まで発生していますのでユピテルさんも被害者です。怒りの矛先を変えましょう。
今回の事件の考察など
クレジットカード情報の流失がなかった事
とにかくクレジットカード情報の流失が無くてほっとしました。
結構SNSや5ちゃんねるでは安直に捉えてる人がいらっしゃったのですけど、私は実際に印刷会社さんの個人情報流失の際にクレカ情報を流失した経験があり、大変だった事を経験済みです。
クレカの停止・再発行は簡単です。
ただカード会社によっては新規のクレカが届くまで結構タイムラグがあるため、月末の支払い時期だと結構問題が発生します。さらにライフラインを含めたすべての登録情報を変更していかないといけなくなるも大変でした…。その印刷会社さんも流失しました!っていうメール1枚きりの対応だったので憤りはしましたよ。
あと、不正利用による保証は、連絡して受領した日から最大2ヶ月前までです(カード会社に寄って変わるかもしれないのでチェックしてみてください)
保証期間もそこまで長くないし、セキュアコードまでわかってしまうと「簡単にネット決済」できますので、あぶない情報というのを再認識してくださいね。
住所氏名電話番号の流失に関して
住所氏名電話番号などの情報を悪意のある事に利用しようとしても、金銭取引に関わる様なWEBサービスに置いては、電話連絡やメール連絡、最近は免許証などの画像情報を含めた2段階の個人認証する様になっていますので、そうそう使えるものではないです。そもそもこれだけの情報で個人認証ができるなら、誤情報でも登録・利用できるわけですし…。
それに簡単に足跡が残ってしまうので使い難い情報ではありますが、そこからさらに有力な個人情報をひっぱるために、迷惑メールなどの詐欺行為のアクションを取ってくる可能性がありますので、ここだけは注意しましょう。怪しいものには触れないが鉄則です。
あと誕生日の入力に関しては、サポートセンターを利用した際の個人確認で使われていたのと、誕生月にポイントプレゼントの対象データになっています。
今回の経緯を考察
(1)2017年10月末に不正アクセスが発覚して、4年間報告が無かったこと
こちらに関しては、システム・サーバ共にセキュリティの準備が整うまで、不安を煽る公表は避けたかったのではないかなって思います。準備が整う前に公表してしまうと不安定なシステム・サーバに対して不正アクセスが集中して、さらに被害が多くなる可能性が十分考えられます。
サーバはともかく、全サービスにおけるシステムの作り直しは、そんな短期間で作れるものではないのをよく知っていますので、この理由の可能性は十分あると思います。
ただ準備が整った時点で、不正アクセスがあったことだけでも公表するべきだと思うのですけど、昨年2020年にシステムとサーバの移行を総入れ替えしていたので、そんな猶予は無かったですね。
(2)4年間報告が無かったもう一つの可能性
2021年5月25日に脅迫を受けた際に、2017年10月末の不正アクセスに気がついた可能性もあります。
根拠は、個人のルーターですら不正アタックのログがあるぐらいなので、ユピテルさんのサーバに対しての不正アタックなんて毎月何百もありそうです。そんな何百もある中、ユーザー情報が抜かれているという証拠がなかったら…そのままスルーしそうな気がするのですよね…ヽ(・x・;)ノその辺りがわかる専用ツールの有無まではわかりません
ただ上記通り、2017年から2020年までに、WEBサイトのシステムや、SSLを含むセキュリティ部分、またサーバの強化を行ってた動きを見せていましたので、不正アクセス対策は行っていた事は事実です。このあたりって短期間で変えるのはなかなか難しいので、すこしづつ変更して行ってたのだと思います。
(3)脅迫を受けてから6月7日の公表までにタイムラグ
こちらに関しては、今回が刑事事件であるため、公表までの期間中に警察と連携を取っていたからだと思います。公表してしまったら、犯人の特定が困難になったり、犯人が握ってる個人情報をどうするか…までは容易に想像つきますよね。
このあたりは、よくTVドラマにもある、子供を誘拐して身代金を要求している事件に巻き込まれている状態を想像してもらえたらよく分かると思います。
ということは、警察から許可がでてる状態で公表しているので、もしかしたら犯人の目処がたってる可能性も。
(4)サーバ会社さんのやらかしの可能性
流失した個人情報の種類を見る限り、個人情報・確認用のデータベースサーバを狙われた感じにみえます。さすがにdatファイルで管理はしていないと思うので…。という事は、侵入経路に関しては、WEBページ(システム)からではなくて、サーバへの不正アタックだと思われます。
それで、システム会社とサーバ会社が別という事なので、今回の事件は「サーバ会社さんのやらかし」じゃないのかなっと予想しました。 もしかしたら、ユピテルさん以外にもそのサーバ会社さんで契約していた企業さんもいらっしゃると思うので、そこにも被害がでてそうな気がしますね…。
ただ会社PCのウィルスやアクセスキーの流失による侵入だったら、完全なユピテルさんのやらかしなんですけどね!
最後に
個人情報流失事件は他の大手会社さんでもたくさんありました。その流失事件で私も被害を受けてるひとりです。
ただ今回は脅迫事件まで発展していますので、ユピテルさんも被害者です。
でも被害者といっても個人情報を集めてる手前、責任は十分あると思いますので、しっかり対策していただいて今後は漏洩が無い様な運営に切り替えてもらうことを望みます。
とりあえず、不正アクセスを行って恐喝を行った犯人の逮捕が早期に行われるように祈ってます。
霧島レイちゃんの活動と葵わさびちゃんの活動休止した罪は重いわ!ヽ( ・x・)ノ┌┛Σ(ノ `◇´)ノ
記事の内容やサイト全体の情報がお役に立ちましたら、下記ランキングサイトへのリンクボタンをポチッと押して、応援していただけますと嬉しいです(/ω\)
にほんブログ村
人気ブログランキング
製品レビュー
