ソースネクストは2023年2月14日、「弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」において、同社のオンラインショッピングサイトが不正アクセスを受け、クレジットカード情報を含む個人情報が漏洩した可能性があることを発表した。漏洩した可能性のある情報は、氏名や住所、電話番号などの個人情報が最大120,982人分、セキュリティコードを含むクレジットカード情報が最大112,132人分とされている。
ソースネクストによると、情報漏えいが発生したのは2022年11月15日から2023年1月17日までの間で、この期間に商品を購入したり、クレジットカード情報を登録したユーザが対象だという。同サイトのシステムに含まれていた脆弱性によって第三者より不正アクセスを受け、ペイメントアプリケーションの改ざんが行われたことが原因として挙げられている。
期間中にクレジットカード情報の登録を行ったユーザは、次の情報が漏洩した可能性がある。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
また、期間中に商品の購入を行ったユーザは、次の情報が漏洩した可能性がある。
- 氏名
- メールアドレス(パスワードは含まない)
- 郵便番号(任意入力項目)
- 住所(任意入力項目)
- 電話番号(任意入力項目)
不正アクセスの内容に関する詳細は明らかにされていないが、被害がカード情報の登録時と商品の購入時に限定されていることから、データベースからの情報漏えいではないと考えられる。同社では、2023年1月4日にクレジットカード会社の連絡に基づいてカード決済を停止した上で調査を開始し、同1月23日に調査機関による調査が完了したという。ただし、ソースネクストの報告ではカード決済の停止後にも漏えいが継続していた模様。これは、クレジットカード情報の漏えいの発生が「決済時」ではなく「登録時」と説明されていることとも一致する。
ソースネクストでは、ユーザに対してクレジットカードのご利用明細書に身に覚えのない請求項目がないかを確認し、万が一身に覚えのない請求項目の記載があった場合にはクレジットカード会社に問い合わせるように案内している。カードを再発行する場合の手数料はかからないという。