Bリーグチケットの情報漏洩の件(以前書きました)のお詫びが「ぴあ」から届きました。
概ね、個人情報+クレジットカード情報が漏れた場合、3,000円。個人情報のみの場合は500円のQUOカードが。
当方に届いたのは…
「15,500円分のQUOカード」でした。
ん?
要するに3,000円×5+500円×1ということです。
実は当方が持っているアカウントは家族で5件で、計算が合いません。
推測される手順についてご説明しましょう。
以前記載したように、Bリーグのこのチケットサイトは 「bleague-ticket.jp」(以下「チケット」)と「bleague-fanclub.jp」(以下「ファンクラブ」)に分かれていて、実際にはログイン上は1つの口座に見えても、「チケット」だけの利用でも「Bリーグ会員」として「ファンクラブ」に登録され、別にチームファンクラブ加入時には別個に「ファンクラブ」に登録され、それぞれに会員番号が振られています。
そして「チケット」と「ファンクラブ」それぞれ、独立したデータベースです。その証拠に公表された内容でも
・「ファンクラブ」はデータベースへの外部アクセス(つまり情報の抜き取り)が可能
・「チケット」はデータベースへの外部アクセス(抜き取り)は不可能だったものの、自由に内容の閲覧が可能
というように、別運用をされていたということです。
つまり
・1IDでも「チケット」と「ファンクラブ」の両方から抜かれている可能性があれば、双方の「お詫び」が来る。多くは「チケット」でクレジット利用に伴い「ファンクラブ」に2ID扱いで情報が取られたもの。
・逆に「チケット」のみの場合は、その1つのみ。
・ただ「ファンクラブ」に加入している場合は、クレジット情報を登録していれば、「チケット」扱いにもなる場合が多い
当家については4IDあり
・2IDがファンクラブとチケットのクレジットカードでの利用があり = 2倍×3,000円×2口座
・1IDがチケットの分配のみでの利用でクレジット登録なし =1倍×500円×1口座
・1IDがチケットでのクレジットカードの利用があり =1倍×3,000円×1口座
以上が2017/3/10の Apache Struts 2 を利用していることに気がつき措置する前に作成していたアカウントなので支払い対象
ということで、15,500円になったと思われる、とのことです。
なお、これら情報はほぼ重複しているのが、結果的には救いではありましたが、気持ちよいものではないですね。
このような経緯で、支払額が個人によって異なるのだと思います。
