ブラジルから不正サクセス

ペイペイ全加盟店約260万店

約2007万件の個人情報が流出

ソフトバンク系のスマートフォン決済「PayPay（ペイペイ）」は7日、第三者からのアクセスで、ペイペイで決済できる全加盟店約260万店の情報が流出した可能性があると発表した。ペイペイを使って買い物をする利用者の情報は、店舗情報とは別に管理されていて被害はないという。

PayPayからのお知らせ
2020.12.07 企業情報
当社管理サーバーのアクセス履歴について

2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。

＜アクセス履歴のあった情報＞
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
影響を受けた可能性のある最大件数：20,076,016件

原因は、当該情報へのアクセス権限の設定不備です。（不備のあった期間：2020年10月18日～12月3日）
加盟店管理システムにおいて、アクセスモニタリングやシステム変更時の監視を強化します。今回の事象を重く受け止め、再発防止に努めてまいります。

当社管理サーバーのアクセス履歴について - PayPayからのお知らせ

 

 

 

 

約2カ月間気が付かなかった 

1日に同じソフトバンク系のヤフーから連絡を受け、社内でアクセス履歴を調査したところ、11月28日にブラジルからデータベースにアクセスされていたことを確認した模様です。アクセス権限は本来、社内で店舗営業に関わる従業員のみに設定されていましたが、10月にサーバーの更新をした際にアクセス権限の変更を行った後、設定を元に戻さず、外部からもアクセスできる状態になっていたようです。約2カ月間にわたって重要なデーターが無防備のままだったようです！

 

 

世界でも例のない大流出

第三者のアクセスが確認されたのは、加盟店に関する営業情報をまとめたデータベース。全加盟店の名前や住所、連絡先のほか、代表者名、振込先の口座番号、営業の対応履歴などが記載されていた。重複分も含めると、流出した可能性のある情報は、最大で約2007万件にのぼるという。ペイペイによると、現時点で、情報が悪用されたかは確認できていないとのことですが、限定できていないだけで被害が無いわけがないとユーザーからは心配な声が上がっています