昨日の記事から半日ほど経ってお返事がきました。だれか連絡してくれたのかな?さて、そのお返事が納得いかないものだったのでさらに返信。
原因は宿泊者の誤操作であるという。いやぁ、ログインして宿泊予約するシステムなのに、誤操作でおいらにメールが送られてくるって理解できないし。誤操作じゃなくて不正アクセスなの?
ログイン画面を見ながらよくよく考えてみれば、氏名と生年月日だけで宿泊予約~キャンセル。登録情報変更までできてしまう驚愕仕様。おいらの氏名は知っている方は知っていると思いますが、年齢もソーシャルハッキングしていればある程度の組み合わせで推測できてログイン可能ですね。もっとも、ログインした時点で不正アクセス禁止法に抵触しますから、やらないでね。年齢と生年月日が分からなくても20~80歳と仮定した場合、22000回ほど総当たりで突撃したら、ログイン可能。なんなんだ。これわ。こんなにセキュリティ強度のないシステムが運用できる神経がうらやましい。
しかも、個人情報については当方の情報は漏えいしていないから安心してくださいとな。いや、そうじゃなくて宿泊者の氏名・宿泊日時がおいらに知れた時点で問題なのに。わかってないのよね。
現実的に、不正アクセスは考えにくいので東横インのシステム上の不具合か瑕疵であると思うのですが・・・。何にせよ、あのセキュリティ強度はないわ。
