【データ流出】企業の顧客データもろみえ 8
自動車保険のアクサダイレクトのホームページで、「My AXA Direct」に登録した人の
メールアドレスが、誰でも閲覧できる状態になっていたことが8日明らかになった。また
一部のユーザはパスワードも漏えいする状態だった。
My AXA DIRECTでは、パスワードを忘れた登録者のためにパスワードリマインダが用意
されている。ユーザIDを入力して秘密の質問に答えると、新しいパスワードがメールで
通知される仕組みだ。
ところが、ユーザIDを入力すると、ユーザ検索の結果として登録したメールアドレス
が画面に現れる「親切設計」となっていた。ユーザIDは短い単語や氏名のローマ字であ
ることが多いため、適当な文字列を入れると他人のメールアドレスを検索できてしまう。
つまり、アクサダイレクトは、ユーザIDから登録者のメールアドレスを検索するサービ
スを一般公開していたわけだ。
また、ユーザ登録の時に選ぶ秘密の質問の選択肢には、こともあろうに「ご登録の
E-mailアドレスは?」が用意されていた。これを選んで登録した人の場合、リマインダで
ID検索をかけた時、登録E-mailアドレスは画面に現れるのだから、秘密の答えは第三者
でも知ることができた。加えて、このリマインダはパスワードの通知先メールアドレスを
自由に変更できる「親切設計」だったため、パスワードを第三者に送ることができた。つ
まり、秘密の質問を登録E-mailアドレスにした人のパスワードは誰にでも手に入る状態だっ
た。
メールアドレスが、誰でも閲覧できる状態になっていたことが8日明らかになった。また
一部のユーザはパスワードも漏えいする状態だった。
My AXA DIRECTでは、パスワードを忘れた登録者のためにパスワードリマインダが用意
されている。ユーザIDを入力して秘密の質問に答えると、新しいパスワードがメールで
通知される仕組みだ。
ところが、ユーザIDを入力すると、ユーザ検索の結果として登録したメールアドレス
が画面に現れる「親切設計」となっていた。ユーザIDは短い単語や氏名のローマ字であ
ることが多いため、適当な文字列を入れると他人のメールアドレスを検索できてしまう。
つまり、アクサダイレクトは、ユーザIDから登録者のメールアドレスを検索するサービ
スを一般公開していたわけだ。
また、ユーザ登録の時に選ぶ秘密の質問の選択肢には、こともあろうに「ご登録の
E-mailアドレスは?」が用意されていた。これを選んで登録した人の場合、リマインダで
ID検索をかけた時、登録E-mailアドレスは画面に現れるのだから、秘密の答えは第三者
でも知ることができた。加えて、このリマインダはパスワードの通知先メールアドレスを
自由に変更できる「親切設計」だったため、パスワードを第三者に送ることができた。つ
まり、秘密の質問を登録E-mailアドレスにした人のパスワードは誰にでも手に入る状態だっ
た。
|
|
|
592 :#:02/09/08 23:55
test
アクサダイレクトによると、9日午前に匿名の電話でこのことを知らされ、即座にホー
ムページを閉鎖したという。同社は、パスワードが漏れた可能性があることを登録者に連
絡し、他社のサービスで同じパスワードを使っている人は変更するよう注意を呼びかけて
いる。
あるコンピュータ専門家の話:こんな馬鹿な設計をした開発業者は淘汰される仕組みが
必要だ。アクサにも責任がある。一度でもリマインダ機能を試していれば気付いたはずだ。
気付かなかったというのなら相当に頭が悪い。こんなことでは今後も同じことが繰り返さ
れるだろう。消費者はこういう馬鹿なシステムに個人情報を預けて被害に遭わないために、
自力でリマインダの安全性を確かめる必要に迫られている。馬鹿業者との知恵比べは、ハッ
カーではなく消費者に求められているのだ。
ムページを閉鎖したという。同社は、パスワードが漏れた可能性があることを登録者に連
絡し、他社のサービスで同じパスワードを使っている人は変更するよう注意を呼びかけて
いる。
あるコンピュータ専門家の話:こんな馬鹿な設計をした開発業者は淘汰される仕組みが
必要だ。アクサにも責任がある。一度でもリマインダ機能を試していれば気付いたはずだ。
気付かなかったというのなら相当に頭が悪い。こんなことでは今後も同じことが繰り返さ
れるだろう。消費者はこういう馬鹿なシステムに個人情報を預けて被害に遭わないために、
自力でリマインダの安全性を確かめる必要に迫られている。馬鹿業者との知恵比べは、ハッ
カーではなく消費者に求められているのだ。