水曜、29日に DiskUnion からメール。
「株式会社ディスクユニオン・オンラインショップ登録個人情報漏えいに関するお詫びとご報告」
え!? と驚く。
先週の金曜、24日からオンラインショップにアクセスできなくなっていた。
「メンテナンス中」となって簡単な説明が掲載されていた。
先日物流倉庫の移転を行って
メール便は料金が200円から297円に上がった。
なんだかなあ、この物流周りでなんかシステム障害でも起きたか、と思っていた。
メールを見るとこんなことが書かれていた。
・住所、氏名、メールアドレス、パスワードなどが流出、最大70万件近く
※クレジットカードの漏えいはなし
・06/24(金)判明、23時にオンラインショップ停止
06/25(土)対策チームを発足
06/27(日)個人情報保護委員会へ報告
06/28(月)所轄警察へ被害報告
・他サイトへの不正ログインを防止するために
同じメールアドレス、パスワードで登録していたら変更してほしい
そうかあ……
セキュリティの固そうなサイトだなという印象はなく、まあ普通のECサイト。
どこにでも起き得る話。(だからいい、ということではないが)
中で働く誰かが悪意をもってデータを持ち出したのか、
外部から侵入を受けたのかはよくわからず。
なんにせよ発覚から5日もかかって公表という遅さがネットニュースで話題になっていた。
メールでは「不確定な情報の公開はいたずらに混乱を招き……」
というようなことが書かれていて、おそらく本心だろうけど、
世の中の大概の人はだったら不確定を確定にするために全力で急げよ、と思うはず。
それで、あっと思い出したのが
土曜に facebook から通知があって
「誰かが新しい端末からログインしてますが、あなたですか」と。
見るとインドから。
なんだそれ? とその場でパスワードを変更した。
漏えいの件が公になって、もしかしてとメモを探すと
DiskUnion とメールアドレス、パスワードの組み合わせが同じだった!!
慌てて他にないか探し、いくつか変更した。
組み合わせが一緒ではなかったものも、念のためより難しい文字列へと変更した。
あるんだな、こういうことが……
そう思うと、ユーザーへの個人情報漏えいの連絡は早ければ早い方がいい。
地球の裏側にいる誰かが悪意を持ってなのか、単なる遊びでなのか分からないけど、
ログインを試みることは今やごく普通のことだから。
(というかそれは10年も20年も前からそうだったわけで、今更ですが)
DiskUnion にはきちんと対応してほしいなあ。付け焼刃ではなく。
イチ、ヘビーユーザーとして切に願います。
