JR東日本の会員サイト「My JR-EAST」において、約1万3000件のアカウントで、利用者本人以外の第三者によってログインされる「不正ログイン」の被害が発生していたことがわかった。
他事件で同社会員のアカウント情報などが不正取得されていことが判明したことを受け、同社では、過去に複数回発生した同サイトへの大量アクセスについて調査を実施、被害状況を調べていたもの。
同サイトでは、2015年8月23日に約3万8000件のアクセスを検知し、69件のアカウントで不正ログインを確認。
また別の事件で警察が中継サーバ業者から押収したサーバに同サイトの会員53人分の個人情報が含まれていたことがわかっている。
:
同社では不正ログインを把握した際、アカウントへのアクセスを一時制限し、顧客にはダイレクトメールでパスワードの変更を求めてきたが、不正ログインにより、個人情報が不正に取得された可能性について説明しておらず、不備があったと謝罪。
他サービスで利用するパスワードの使い回しを避けるなど、利用者へパスワードの適切な管理を呼びかけている。
*一部省略
会員約1.3万件の不正ログインが判明、個人情報取得が目的か - JR東日本
http://www.security-next.com/068739