メッセサンオーが個人情報を大流出! 購入したエロゲ・住所・氏名・性別・電話も漏洩 ★10
購入履歴のページもやばいが、ある語句をつけて検索すると、
会員ごとの個人情報を直接編集する「管理者向けページ」が山のように出てくる。
客から、住所変更の依頼を受けたときなんかに使うページなんだろう。
これをGoogleさまが、ご丁寧に全ページをキャッシュしている。
このページは、会員が自分で決めたパスワードがソースの中に丸出しになってるから、
平文のパスワードが個人情報とセットで流出・・・こりゃ前代未聞の流出事件じゃないか?
ていうか大前提として、客が入力した大切なパスワードを、平文で保存しちゃダメだろ。
エログッズの買ったものリスト、住所、氏名、電話、性別、生年月日、
自分で決めたパスワードがセットで流出って、被害甚大すぎるだろ・・・
被害者は、1秒でも早く、ネットで共通で使っているパスワードを変えるべき。
さらに、ある文字列で単純にGoogle検索するだけで、
買い物かごシステムの管理者用設定変更ページが、検索結果の1番目に出てくる。
これはシステム上のトップレベルの権限だから、ディレクトリから何まですべての設定が参照できてしまう。
しかも、設定ファイルの置き場所も問題で、会員情報の全員分っぽい大元のCSVファイルと
ロックファイルが、public_htmlの下にまるだしで、URLさえ知ったら誰でもアクセスできる場所に
置いてあるし。いくらなんでも最低レベルだ・・・ザルすぎだろ・・・
俺はアクセスしなかったが、csvは、ちゃんとhtaccessで制限かけてあるんだろうな?
万が一、かけてなかったら・・・いったいどこのテストサイトだよ
会員ごとの個人情報を直接編集する「管理者向けページ」が山のように出てくる。
客から、住所変更の依頼を受けたときなんかに使うページなんだろう。
これをGoogleさまが、ご丁寧に全ページをキャッシュしている。
このページは、会員が自分で決めたパスワードがソースの中に丸出しになってるから、
平文のパスワードが個人情報とセットで流出・・・こりゃ前代未聞の流出事件じゃないか?
ていうか大前提として、客が入力した大切なパスワードを、平文で保存しちゃダメだろ。
エログッズの買ったものリスト、住所、氏名、電話、性別、生年月日、
自分で決めたパスワードがセットで流出って、被害甚大すぎるだろ・・・
被害者は、1秒でも早く、ネットで共通で使っているパスワードを変えるべき。
さらに、ある文字列で単純にGoogle検索するだけで、
買い物かごシステムの管理者用設定変更ページが、検索結果の1番目に出てくる。
これはシステム上のトップレベルの権限だから、ディレクトリから何まですべての設定が参照できてしまう。
しかも、設定ファイルの置き場所も問題で、会員情報の全員分っぽい大元のCSVファイルと
ロックファイルが、public_htmlの下にまるだしで、URLさえ知ったら誰でもアクセスできる場所に
置いてあるし。いくらなんでも最低レベルだ・・・ザルすぎだろ・・・
俺はアクセスしなかったが、csvは、ちゃんとhtaccessで制限かけてあるんだろうな?
万が一、かけてなかったら・・・いったいどこのテストサイトだよ
|
|
|