スポンサーリンク

ソースネクストで個人情報漏洩?

昨日、ソースネクストから、こんな不思議なメールが届きました。

SourceNext-20141211-1

曰く、プロバイダメールのアドレスを解約した場合にプロバイダ側で同じアドレスを別の人に再割り当てをすることがあり、そのような事態が発生した場合に他人の情報が見えてしまうことがあるとのこと。でも、別の人に同じメールアドレスが割り当たってもパスワードがわからなければどうしようもないよな〜と思っていたのですが…

ちなみに、ソースネクストのマイページには「登録時に付与されたID」もしくは「メールアドレス」とパスワードでログインするようになっています。仮にメールアドレスが判ってもパスワードが判らなければログインできないですね。

SourceNext-20141212-1

再割り当てを受けた方は当然新規登録しようとしたら「登録済み」みたいな告知がなされるのでしょう。きっと。そこで、あれ?と思ってログインを試してみるけどログインできないと。そこで出てくるのがパスワードリマインダですね。

SourceNext-20141212-2

実は、ソースネクストのパスワードリマインダはメールアドレスが判るだけでパスワードを変更できてしまいます。リマインダにメールアドレスを入れると、その他の情報は一切聞かれずに下のようなメールが飛んできます。

SourceNext-20141211-2

このメールに貼られているリンクをクリックすると、パスワード変更画面が出て「新しいパスワードのみ」を入力する形になります。まぁ、パスワードを忘れたのですから当然ですね。

もう、お判りになりましたね。

プロバイダからメールアドレスの再割り当てを受けた人は「新規登録が出来ない」し「ログインも出来ない」ので、仕方ないからパスワードリマインダを使います。そこで求められるのはメールアドレスのみなので、容易にパスワードを変更でき、マイページにログインできてしまうわけです。その結果、同じアドレスの前所有者の個人情報が丸見えになってしまうと言うわけです。

ちなみに、パスワードリマインダを使って送られてきたメールには氏名が書かれていますので、ここで気付いて先へ進まなければメールアドレスの前所有者の氏名が漏れるだけで済んでいるはずです。先へ進むと個人情報ダダ漏れになってしまうと言う事態が発生します。

これ、パスワードリマインダの設計に問題がありますね。メールアドレスだけではダメで、その他の個人情報、例えば登録済み生年月日もしくは登録済み電話番号を入力させないとダメです。

というわけで、この事件では何件、個人情報が漏洩したのでしょうか?恐ろしいですねぇ。

Security
スポンサーリンク
別館「S3日記」

コメント

タイトルとURLをコピーしました