FaithとTOWTOPの通販サイトに不正アクセスがあって顧客情報が流出との事。

ある情報によるとパスワードは平文で流れていたとの事。

株式会社MCJおよび同社子会社の株式会社ユニットコムは27日、ユニットコムが運営するBTOパソコン／パソコンパーツショップ「Faith（フェイス）」および「TWOTOP（ツートップ）」の通販サイトのウェブサーバーに海外から不正アクセスがあり、顧客情報が流出したと発表した。
流出したのは、「フェイスインターネットショップ」で2008年6月26日から2010年8月17日までの間にクレジットカードで買い物をした顧客7万4048人のクレジットカード番号および有効期限。氏名、住所などは流出した情報に含まれていないという。
さらに、「ツートップインターネットショップ」についても、1999年6月29日から2008年9月10日までの間に会員登録した顧客18万74人の会員IDおよびログインパスワードが流出した。会員データベース統合のために、ツートップインターネットショップの顧客情報を、フェイスインターネットショップのウェブサーバーに移管していたのだという。その他の個人情報やクレジットカード情報は含まれていないとしている。
なお、同じくユニットコムが運営する「パソコン工房」のサイトに登録されている顧客情報については、外部に流出した形跡がないことを確認しているという。

「Faith」通販サイトに不正アクセス、カード情報7万4048人分流出 -INTERNET Watch Watch

統合のために本番サーバにユーザ情報を統合して保守作業していたとの事。

9月初旬より、フェイスインターネットショップ会員情報データベースとツートップインターネットショップ会員データベースの統合を進めるため、ツートップインターネットショップ会員情報データベースをフェイスインターネットショップウェブサーバーに移管して保守作業を実施しておりました。そのため、フェイスインターネットショップウェブサーバーとツートップインターネットショップご利用のお客様の情報が流出する事態が発生致してしまいました。

http://www.unitcom.co.jp/info_0927/

ここも13日にクレジットカード会社からの連絡

9月13日
・クレジットカード会社よりカード情報が漏洩している可能性がある為、弊社への調査依頼があった。
・同時に社内での調査を開始。

http://www.unitcom.co.jp/info_0927/

企業名がそのまま出るのは珍しい、ラックさんが調査したらしい

9月16日
・第三者機関であるセキュリティ専門会社2社へ調査を依頼。
・調査依頼会社の一つである株式会社ラック（以下「ラック」）による調査が開始
9月17日
・ラックによる調査速報提示で流出した可能性があることを確認

http://www.unitcom.co.jp/info_0927/

原因は公表していないですねぇ。データベースへのアクセスってことは、もしかしたらSQLインジェクションかもしれませんね。

（１）侵入及び流出経路
海外からのフェイスインターネットショップサーバーに対するデータベースへの30万回以上の不正アクセス攻撃

http://www.unitcom.co.jp/info_0927/

関連URL

• Faith と TWOTOP の顧客情報が流出 - スラッシュドット・ジャパン
• パソコン通販「フェイス」「ツートップ」のサイトで、顧客情報20万件弱が流出 | RBB TODAY (エンタープライズ、セキュリティのニュース)