【物流】ヤマト運輸で個人情報漏れ--iPhoneで閲覧可能に [10/25]

>>11
＞氏名、住所、電話番号、メールアドレスなどが閲覧可能になっていた。

じゃ、お前はここに全部晒せよ

クロネコヤマトだけの問題じゃなくて
iPhoneのエスブラウザ使って、携帯固有番号認証した場合、すべて同じなんだろ？

「iPhoneのブラウザ」なんてもんじゃなくて
パソコンでもなんでも、ユーザーエージェントの項目を設定するだけで
同じ問題が起きるから
「iPhoneが悪いだけ」というのは、甘い

>>14
その辺が良くわからんのだよね。
ケータイアプリの場合は接続元でもフィルタする場合が
多いのだけどやってなかったのかな？
それともiPhoneが3G接続時にソフトバンクサーバ経由だから
パスした？
場合によっては他のケータイサービスにも影響するから
詳細情報が欲しい

>>15
口で説明するのは、わかりにくい。
　
パソコンのFireFoxというブラウザに
FireMobileSimulatorというアドオンを入れて
「携帯サイト」と呼ばれるところにアクセスしてみれば体験できる。
　
パソコンでは「携帯からアクセスしてください」と表示されるだけのサイトでも
これを使うだけで、ケータイと同じように使えるようになる。
　
もうね、ヤマトだけじゃなくて日本中のケータイサイトが抱える
爆弾なんだよ。
　
知っている人はいままで黙っていたんだけど、これを表に出しちゃ駄目だ

>>15
高木浩光さんのブログが参考になるかも

>>10
ヤマトの社長は裏ニュース読んでんのかよｗ

>16
なんですぐばれるウソつくん？

>>17
読もうと思ったら503で繋がらなかったｗ
大体この話の基本知識はあるので問題はないと思う。
携帯アプリの端末ID認証は下の２つをキーにして行う。
1) 接続元がキャリアのIP
2) 端末IDが一致

気にしてるのは今回のサイトが1をやっていたのかどうか。
例えばソフトバンクの場合はY！ケータイの場合は必ず
以下のサイトからのアクセスとなるはずだけれどこれを適切に
チェックしていたか。
http://creation.mb.softbank.jp/web/web_ip.html
やった上でこの現象が起きているならSBはもう端末ID認証は
使えなくなる。
ヤマト運輸がこのチェックしてないだけなら単なるヘボだから
どうということはない。

今回のSBbrowserは単にUserAgentを変換するだけだから
(2)の問題だけ。

>>15
禿のサーバーでもフィーチャーフォンとiPhoneはサーバーが違うから、ヤマトはアクセス元規制はかけてなかったんじゃないかな。
panda-world

>>21
開発会社は損害賠償もんだな

>>23
はぁ?　httpで何送ろうが問題ないヨ。盗んだIDとパスワードじゃあるまいし。

そもそも認証にIPアドレスを使うこと自体おかしい

>>25
え？

>>26
ふつうはIDとパスワードで認証するけど、かんたんログインは携帯電話のID（他人が知ることができる）
と携帯電話が使うであろうIPアドレスの二つで認証する。
>>20
＞本情報はあくまでも目安としてご参照ください。
＞本IPアドレス帯域以外からソフトバンク携帯電話のアクセスがない事を保証するものではありません。

>>24
ＳＢbrowserの開発元じゃないよ。
容易に成りすましを許すシステムを開発した
ヤマトのシステム構築会社が損害賠償もの

>>27
それはセンタＩＰ以外からもＳＢ携帯がアクセスする話であって
センタＩＰからＳＢ携帯以外が来る話ではないので、認証の
情報としてセンタＩＰによる制限は使える。
これが崩れたというのなら大変だけど。

崩れてますけどね

>>16
>>20
ヤマトの携帯サイトにPCから入れる穴があった。SBの携帯プロキシは関わってない。
今回の通信は携帯のGWではなくインターネットから行われた。

>>16
>>20
ヤマトの携帯サイトにPCから入れる穴があった。SBの携帯プロキシは関わってない。
今回の通信は携帯のGWではなくインターネットから行われた。

>>27
中途半端乙です

しかもIPアドレス＋携帯電話のID認証だと、経路の途中で改ざんを防ぐSSLが使えない。
正しいIPアドレスからの通信でも、ヘッダが暗号化されるので、携帯電話のIDが正しいかどうか携帯電話会社がチェックできないから。

>>28
ソフトバンクモバイル自体が「本情報はあくまでも目安としてご参照ください」
って言ってるものを認証に使うのはどうかというはなし

SIMカードを抜き差しして、ケータイを使い分ける時代に
SIMではなく、携帯本体の番号を認証に使うのが間違い。
　
機種変更するかもしれないしオークションで売ったり
友達にあげたりすることもあるので
「機種固有ID」は個人認証には使えない

SIMがなかった「2G」のころの仕組みを
変えることが出来ないから
このガラパゴス

>>35
そもそもすべてのサイトにIDを送信してるのでサイト管理者に知られる番号
http://www.nttdocomo.co.jp/info/notice/page/080228_00.html
＞iモード上で閲覧可能な全てのサイトへの提供を可能

>>36
Cookieを使えば解決する

これさ、ヤマトが対策したとしても、偽装ブラウザのアプリが存在する限り
ほかのサイトで似たような事故が発生する可能性が残ってるんだよね。

ちなみに、どうしてIPアドレスで接続元を制限していなかったのか？って
言ってる人いるけど、サーチエンジン対策なんだよ。
検索エンジンのクローラが、UAを偽装してアクセスしてくるから
そいつを弾いてしまうと検索しても引っかからなくなってしまう。

高木センセイは、この辺の事情を知らんのかもしれない。

>>35
いつの時代の話してるの？いまはSIMカード単位だよ。

SoftBank/1.0/840SH/SHJ001/SN35930359035903590 Browser/NetFront/3.5Profile/MIDP-2.0Configuration/CLDC-1.1
のSN35930359035903590で、簡単ログインしてんじゃないの?

IPアドレス制限しなかったらなりすましし放題だよね

現状は「IPアドレス制限したってなりすましし放題」
　
もう2Gのころの遺産であるガラケー方式の簡単ログインは崩壊しているのに
事実から目をそらし続けては駄目って
高木さんは前から言ってる

IDを垂れ流しクッキーが設定できない古いガラケーの機種が混在しているから
「新しい認証方式」にも変えられない。
長い鎖国の間に日本独自の変な世界を作り上げてしまったので身動き取れない状態だ。
　
どうして最初から世界共通を念頭に置かなかったのだろう

しなかったらというか、事実上できない

そもそも携帯電話の端末番号で認証というシステムがおかしい。

>>43
そもそも存在しなかったし、念頭におきようがない。

いわゆる公式サイトと携帯電話の通信って普通のインターネット？

ICTソリューションであなたのビジネスをサポート｜ヤマトシステム開発
http://www.nekonet.co.jp/index.html

採用情報
http://www.nekonet.co.jp/HR/career/index.htm

>>47
公式サイトはインターネットとは隔離されている(普通のパソコンからアクセスできない)
今回のヤマトのサイトはインターネットにあって、携帯からもパソコンからもアクセス可能だった
「携帯からのアクセスと偽るパソコン」にだまされた

インターネットに置かれたサーバーでは、携帯からのアクセスでも
簡単なパスワードを入力させるなどの認証をしないと危険
IPアドレスは携帯で共用だから、携帯からかどうか(*)はわかっても
個々の端末は区別できない。
(*)携帯からかどうかも、ソフトバンクの場合は怪しい

>>50
端末、契約者番号は携帯電話会社が正しいものに書き換えることになってる
携帯のIPアドレスかどうかは各社は、あくまでも参考にとどめてください
といってるから確実な判断が無理

>>50
>簡単なパスワードを入力させるなどの認証をしないと危険

じゃあGoogleとかAmazonとかも危険ですね。知ったかすんな。

>>43
存在してますよ

「ヤマトが悪い」「iPhoneが嫌い」「ソフトバンクは糞」というニュースではなく
日本の携帯の認証システムは危険というのが
この記事の意味だし、高木さんが前から主張していること

当初は携帯の「なんちゃってブラウザ」が
ここまで活用されると思わなかったんだろうな

こんなこともあろうかと

警視庁公安部の内部情報がネットへ流出 国際テロ情報など
http://hato.2ch.net/test/read.cgi/news/1288427574/

ヤマト運輸よりクロネコメンバーズの皆様へお詫び

※このメールは、重要なお知らせのためすべてのクロネコメンバーズの皆様へ配信しています。

ヤマトからお詫びのメールが届いた。

ヤマトの対応が良かった分、この前の三菱電機の対応が余計クソに見える。
三菱電機は潰れていいよ。

お詫びメール来たね。
でも、事実確認時点で一度メールすべきだった気もする。

>>54
基本的にザルだからな