【セキュリティ】メッセサンオー、PCゲーム通販の顧客情報がネットで流出(10/04/02)
ゲームや同人誌などを販売するメッセサンオーの顧客情報が、Googleの検索エンジンから閲覧可能な状態に
なっていることがわかった。2ちゃんねるでも情報流出が指摘されていた。
メッセサンオーのサーバーに保存されていたと見られる注文情報2000件以上が参照できる状態。これには
購入商品のタイトルや代金、氏名、住所、メールアドレス、電話番号などが含まれている。
メッセサンオーは2日、流出した情報は同社の「PCゲーム通販部」で商品を購入した顧客の個人情報だと発表。
現在はサーバーを休止し、Googleに対してキャッシュの削除依頼を行ったとしている。
個人情報が流出した経路や原因については調査であり、詳細が分かり次第、同社サイトで報告するという。
なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleに
インデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。
http://internet.watch.impress.co.jp/docs/news/20100402_358712.html
なっていることがわかった。2ちゃんねるでも情報流出が指摘されていた。
メッセサンオーのサーバーに保存されていたと見られる注文情報2000件以上が参照できる状態。これには
購入商品のタイトルや代金、氏名、住所、メールアドレス、電話番号などが含まれている。
メッセサンオーは2日、流出した情報は同社の「PCゲーム通販部」で商品を購入した顧客の個人情報だと発表。
現在はサーバーを休止し、Googleに対してキャッシュの削除依頼を行ったとしている。
個人情報が流出した経路や原因については調査であり、詳細が分かり次第、同社サイトで報告するという。
なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleに
インデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。
http://internet.watch.impress.co.jp/docs/news/20100402_358712.html
|
|
|
2 :名無しさん@お腹いっぱい。:2010/04/02(金) 21:58:29 ID:???
3 :名無しさん@お腹いっぱい。:2010/04/03(土) 01:33:08 ID:???
4 :名無しさん@お腹いっぱい。:2010/04/03(土) 03:22:46 ID:???
まだ消えてねぇのかよw
5 :名無しさん@お腹いっぱい。:2010/04/03(土) 06:38:49 ID:???
なるほどなw
この、WEBインベンターのショッピングカートお試しで使ったことあるけど、
たしかにURLにパスワード、入れることが可能だった。
本来の使い方ではPOSTが使われるわけだが、
URLに、http://CGIのアドレス/&pass=ほにゃららって入れると
パスワードつきで、ログイン可能なアドレスになる。
本来の使い方ではPOSTが〜って言ったが、リンク飛ぶとpass=つきのアドレスが生成されたかもしれん。
まあともかく、そのアドレスが何らかの理由で、流出してしまうと誰でも見れるようになる。
まあ、これはCGIの脆弱性といえるね。WEBインベンターってシェアウェア作っているアマが、
なんか間違ってビジネス始めてみました見たいな程度を感じ取ったので使うのやめたが正解だったw
対策したらしいが、どういう対策をしたんだか。
顧客情報を扱うのなら楽天とかYAHOOとか、金がないにしても安いASPとかにしておいたほうがいいよ。
今はもうサーバーをレンタルしてCGIを設置してパーミッション(笑)の設定をするなんて時代じゃない。
そんなところでケチるな。
この、WEBインベンターのショッピングカートお試しで使ったことあるけど、
たしかにURLにパスワード、入れることが可能だった。
本来の使い方ではPOSTが使われるわけだが、
URLに、http://CGIのアドレス/&pass=ほにゃららって入れると
パスワードつきで、ログイン可能なアドレスになる。
本来の使い方ではPOSTが〜って言ったが、リンク飛ぶとpass=つきのアドレスが生成されたかもしれん。
まあともかく、そのアドレスが何らかの理由で、流出してしまうと誰でも見れるようになる。
まあ、これはCGIの脆弱性といえるね。WEBインベンターってシェアウェア作っているアマが、
なんか間違ってビジネス始めてみました見たいな程度を感じ取ったので使うのやめたが正解だったw
対策したらしいが、どういう対策をしたんだか。
顧客情報を扱うのなら楽天とかYAHOOとか、金がないにしても安いASPとかにしておいたほうがいいよ。
今はもうサーバーをレンタルしてCGIを設置してパーミッション(笑)の設定をするなんて時代じゃない。
そんなところでケチるな。
6 :名無しさん@お腹いっぱい。:2010/04/03(土) 06:43:42 ID:???
http://mag.wb-i.net/2010_04_02.html
> 管理プログラムに下記の対策がなされています。
> 1.metaタグの挿入(noindex,nofollow,noarchive)
> 2.USER_AGENTよるSpiderの排除
あっ、だめだこりゃw
そうじゃねーだろ。パスワードをURLに入れられるようにすんな。
普通に作れよ。
ログインしたら、セッションIDをクッキーに入れて
それで管理するだけだろ。
素人が。
> 管理プログラムに下記の対策がなされています。
> 1.metaタグの挿入(noindex,nofollow,noarchive)
> 2.USER_AGENTよるSpiderの排除
あっ、だめだこりゃw
そうじゃねーだろ。パスワードをURLに入れられるようにすんな。
普通に作れよ。
ログインしたら、セッションIDをクッキーに入れて
それで管理するだけだろ。
素人が。
あー、思い出した。たしかにpass=パスワードつきのアドレスが生成された。
つまり、ログインするとアドレスバーのURLが、http://CGIのアドレス/xxx.cgi&pass=パスワード になった。
この状態で管理画面の下のWEBインベンターへのリンクをクリックすると
WEBインベンターにリファラ経由でパスワードばれるじゃん。って思ったことがある。
これは完全にCGIに存在する脆弱性だからな。
つまり、ログインするとアドレスバーのURLが、http://CGIのアドレス/xxx.cgi&pass=パスワード になった。
この状態で管理画面の下のWEBインベンターへのリンクをクリックすると
WEBインベンターにリファラ経由でパスワードばれるじゃん。って思ったことがある。
これは完全にCGIに存在する脆弱性だからな。