日本電子支付服務商GMO系統存在漏洞 10萬條信用卡信息泄露

E安全4月19日訊 一個多月以前，日本支付處理服務提供商GMO Payment
Gateway（GMO PG）公司證實，黑客利用其應用框架中的Apache
Structs2漏洞對該公司的兩大客戶的網站發起攻擊，並導致大量個人數據被泄。這兩大客戶為東京都政府（Tokyo Metropolitan
Government）和日本住宅金融支援機構（Japan Housing Finance Agency）。

經過初步評估，通過東京都政府網站泄露的數據量為67.6290萬條，包括61.4629萬條電子郵箱地址、6.1661萬條信用卡號以及信用卡到期日。據報道，從日本住宅金融支援機構泄露信用卡信息為4.3540萬條，包括信用卡號、信用卡到期日、安全碼、信用卡支付註冊日期、地址、電子郵箱地址、姓名、電話、出生日期和支付加入日期。

考慮這些數據泄露可能產生一系列蝴蝶效應惡意活動，以及可能給這些數據相關人員帶來的影響，這起事件引起了日本相關政府機構的高度重視。例如日本經濟、貿易和工業部（Ministry
of Economy, Trade and Industry，METI）就提到《個人信息保護法案》，要求GMO
PG針對這起數據泄露事件提交特殊報告，並且要求報告內容須包含個人信息處理和管理細節、調查進度、以及防止再次發生此類事件採取的措施。

GMO
PG已於本周一提交了報告。GMO PG證實遭遇數據泄露不久便宣布成立「防複發委員會」，由11名委員構成，包括幾名來自外部公司的專家，例如TMI
Associates和Payment Card Forensics公司。後者負責調查安全事件並提供諮詢與評估，以防止數據泄露事件。

四月初，Payment Card Forensics針對這起數據泄露事件發布報告，證實了GMO PG內部的調查結果。

外部專家表示，除了這兩大網站受影響以外，尚未確認其它任何網站遭遇過未經授權的訪問。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。