丸井今井のネットショップにおける脆弱性に関して(詳細)


対策が行われたようですのでアップします。
丸井今井のネットショップに関して情報漏洩の危険性の情報を入手したため調査したところ、個人情報漏洩(丸井今井のクレジットカード情報を含む)の問題がある事が判明しました。 この問題はそもそも、システム構築時に「ユーザー名」と「パスワード」を同一に設定できるようになっている事が原因で、初歩的なシステム構築上のミスから発生しているものであります。
本情報を把握したのはツレ(丸井今井ウェブショップの顧客)が誤って自分の愛称をユーザー名・パスワードに入力した時に他人の名前が出てきたとの情報を得たことからである。 調査の結果、個人情報が丸見え(当該ユーザーはクレジットカード情報を登録していない)になったので、発覚した11月1日の夕方に丸井今井の問い合わせ窓口から通報。 同時にIPAの窓口にも届出を行った。 丸井今井の問い合わせ窓口に投げたコメントは以下の通り。

情報システムコンサルティングを営んでおりますが、このたび、あるお客様から調査を依頼された為、調べてみたところ以下の事が判明しました。

ウェブショップのユーザ登録の際に、ユーザ名とパスワードが同一でも登録(変更)できてしまうため、一部ユーザで他人がログイン可能な状態になっています。

その為、個人情報が漏洩する可能性が非常に高い事が判明しました。
システムの改良を御願い致したいところです。
また、全ユーザに対して情報漏洩の危険がある事を周知して下さいますよう、御願い致します。

それにしても、このシステムを構築したのは何処の会社だろうか? ホント初歩的なミスで、個人情報漏洩の危機が発生しているんだから、システム構築を行う資格はないのではないか? っていうか、キチンと設計したのかと小一時間問い詰めたい気分である。
ちなみに、丸井今井は残念な事に本脆弱性を無かった事にしたいらしく、ユーザーへの告知は一切行われていない事を添えておく。 本来、脆弱性が発見された場合は全ユーザーに告知をして謝罪を行うべきであると考える。 何故ならば、長期間放置された可能性がある事からユーザー情報が外部に漏洩している可能性を否定できないからだ。 そう言った意味で、ユーザーに対して一切の告知を行わずにメンテナンスという形で処理をしたのは、責任ある企業のやり方ではないと思うし、お客様相手の商売を行う企業として責任を果たしていないと感じる。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です