またまた、ナチュラムの個人情報漏洩問題についてです。
何度もブログのエントリーにしていて、いい加減アレなのですが、自分から色々とふってしまったのでもうしばらくお付き合いください。
それにしてもこういう生の事例を追っかけていくと、非常に勉強になります(笑
さて、この記事『まだまだ危ないぞ、ナチュラムの個人情報漏洩』で指摘した、個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している件がとりあえず直っていたようなので報告。
ナチュラムのお知らせページの『お名前の表示変更につきまして』にあるように、8月14日に今まで登録した本名が表示されていたログイン情報がログインIDに変更になりました。
それと同時に、個人情報をCookieに保存している件も直されたようです。
(暫定対応なのか、仮対応なのかは分かりませんが)
それでは確認してみます。
■まずはログイン
ログインをしたら、今まで登録した本名が表示されていましたが、今度からはログインIDの表示になっています。
■Cookieの内容
今度はCookieの内容を確認します。
Temporary Internet Filesフォルダを開き、ナチュラムのCookie『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。
そして、ユーザーネームとユーザーIDの部分を探します。
今までは%から始まるURLエンコードされた本名と平文(暗号化されていない)のユーザーIDでしたが、今度は20文字以上の英数字になっています。
画像の赤線と青線のwaqwで始まってる部分。
多分セッションID(もしくはキーになる値のハッシュ値)をUSER_NAMEとUSER_IDに入れているようです。
確認した結果、Cookieに個人情報を書き込むようになっていた仕様は改修されたようです。
■それと、雑誌の日経コンピュータ8月15日号に今回の情報漏洩の詳細が書かれていたので物凄いおおまかに引用。
内部スタッフが商品一覧を作成するプログラムがSQLインジェクションで攻撃され、データベースからFTPサーバへのログイン情報が盗まれる。
その、盗んだログイン情報でFTPサーバーにアクセスしバックドアのプログラムを設置。
だそうです。
■日経BPのサイトITProにも雑誌とは多少内容が違いますが【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えいという記事がありました。
>カード与信など向けにカード番号全ケタと有効期限を記録する別のデータベースがあった
漏洩した顧客マスタのカード番号下4桁は保持しておりませんとかナチュラムのサイトには有りましたが、もしかしたらカード番号全桁が漏れた可能性もありそうですね・・・。
2008.08.20
| ナチュラム個人情報漏洩問題
| Comments(0) | Trackback(0)
■ナチュラムの個人情報漏洩について、『まだまだ危ないぞ、ナチュラムの個人情報漏洩』等で色々と書いてみていたのですが、どうやらスロイスさんの個人情報は流出していなかったもよう。
『閲覧された痕跡のあるデータについて』これによると
>2000年5月~2008年7月10日の間にお買い物、もしくは会員登録など、本サイトのサービスを利用されたお客様の個人情報が~・・・
とあります。
で、スロイスさんのナチュラムに会員登録したのが2008年7月11日 0時19分とか。
ものすごい紙一重で、流出ならずでした。
まぁ、ナチュラム大本営発表なので、あまり信じていませんが(笑
■そして今日もまた仕事中に巡回先のサイトを見ていたら興味深いエントリーが。
『ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚』 Web屋のネタ帳さん。
普通はMD5とかかけてそのハッシュ値を登録したり、暗号化して登録をするのですが・・・。
(ちなみにsuroisuをMD5にかけると649d630624cbaf815516fb602aa4c769というハッシュ値になります。)
ハッシュ化も暗号化もしていない状態でパスワードが漏洩したら、どうしようもないですね。
■ナチュラムと同じシステムなのかは分かりませんが、ナチュラムの関連会社が出してるGenesis-ECというシステムのサイトが興味深いことが書いてあったので紹介。
Genesis-EC開発ストーリー
Genesis-EC関連のページ
あと、ナチュラムのナチュラムプライバシーポリシーも、今回の情報漏えい問題に係わりそうなことが書いてあるので、一通り見ておくと良いかもしれません。
ナチュラムプライバシーポリシー
次回からは釣りブログに戻ります。(多分)
2008.08.13
| ナチュラム個人情報漏洩問題
| Comments(0) | Trackback(0)
昨日のエントリー『まだまだ危ないぞ、ナチュラムの個人情報漏洩』に普段の倍以上のアクセスがありビックリしました。
どうやら某掲示板にここのURLが書かれていたようで(笑
結果としては、そのおかげで多くの人に見てもらうことが出来ました。
それと、『ナチュラム個人情報漏洩問題』なる、まとめサイトにも紹介していただきました。
2008/08/12 追記
華麗なるファミリーキャンプさんにも紹介していただきました。
さて、タイトルの件です。
昨日、私が発見した以下の問題
1.パスワード変更画面の不可解な点。
2.ナチュラムのシステムのソースコード(プログラム)が外部に公開されている。
3.個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している。
についてナチュラムさんにメールを送ったところ、返信が来ましたので紹介します。
まず、私がナチュラムさんに送信したメール本文です。
(※個人情報、セキュリティにかかわる部分は消してあります。)
ナチュラム システム担当者様
ナチュラム セキュリティ担当者様
いつもお世話になっております。ナチュラムを利用しているスロイス(実際には本名を記述)と申します。
システムとセキュリティに関しての報告と確認をしたいと思いメールをいたしました。
まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、Googleの検索にも表示されてしまっています。(aspファイルの拡張子をhtmlにしてしまっている為?)
http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
上記URLで表示される以外のサイトも公開されているソースコードがあるかも知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。
次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名とユーザーIDが暗号化せずに記録されています。情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、サーバーサイド側で対応したほうがよろしいのではないでしょうか?
最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、旧パスワードと新パスワードが同じ物でも登録できてしまいます。パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が無いのではないでしょうか?
上記3点ですが、対応と確認をしていただければと思います。
メールの内容が言葉足らずで、分かりにくいかも知れません。
私がスロイスのハンドルネームで運営しているブログにも、図入りで詳細を記述したエントリーをアップしました。一度目を通していただけたらと思います。
http://suroisu.blog109.fc2.com/blog-entry-133.html
以上、いきなりのメールですが、ご確認いただけたらと思います。
今後もより良いナチュラムを運営されていくことを願っております。
よろしくお願いいたします。
スロイス(実際には本名を記述)
|
それに対してのナチュラムさんの返信の抜粋。(※個人情報、セキュリティにかかわる部分は消してあります。)
> まず最初の件ですが、ナチュラムのソースコードがWeb上に公開されているようで、
> Googleの検索にも表示されてしまっています。
> aspファイルの拡張子をhtmlにしてしまっている為?)
> http://www.google.com/search?q=site:http://www.naturum.co.jp(以下URLのクエリー部分はセキュリティー的に略)
> 上記URLで表示される以外のサイトも公開されているソースコードがあるかも
> 知れませんので、一度Webで公開されているコンテンツを全て確認して見てはと思います。
こちらにつきましては該当のものを削除いたしました。
他の部分にもないか現在確認中です。
> 次に、ナチュラムのサイトで使用している、Cookie内の情報にログインユーザーの本名と
> ユーザーIDが暗号化せずに記録されています。
> 情報漏洩の件の含めて、セキュリティの面から考えると、セッション変数に格納するなど、
> サーバーサイド側で対応したほうがよろしいのではないでしょうか?
こちらにつきましては、現在影響範囲を確認中でございますが、
必ず現状のものとは変更を加えることをお約束いたします。
> 最後になりますが、初回ログイン時パスワードの変更画面が表示されますが、
> 旧パスワードと新パスワード が同じ物でも登録できてしまいます。
> パスワード変更を促しているのに、新旧同じパスワードが登録できてしまうのは意味が
> 無いのではないでしょうか?
こちらにつきましてもご指摘ありがとうございます。
対応を完了いたしました。
|
今回の問題に関するところだけ抜粋しました。
なお、ここには載せませんでしたが、メール本文は非常に親切丁寧な文章で書かれていました。
運営側の対応があまり良くないような噂は掲示板やブログなどで色々と見ましたが、このメールを書いた方、および素早い対応を取られたシステムとセキュリティ担当の方々には非常に好印象を抱きました。
これからが大変でしょうが、頑張っていただきたいと思います。
ナチュラムさんのメールの最後に以下のような一文がありました。
こうした皆様の意見は一つ一つが大変貴重なものです。
全社員一同、誠心誠意対応にあたって今後の信頼回復に努めて参ります。 |
ナチュラムさんと利用者でより良いサイトを目指して行くことができればと思います。
そして、早速なのですが対応していただいた『1.パスワード変更画面の不可解な点。』を試してみました。
■パスワード変更画面で、新パスワードに旧パスワードと同じものを入力して『パスワードを変更する」ボタンを押下してみます。
■エラー画面が表示されました。
ナチュラムさん、早速対応していただきありがとうございます。
それにしても眠かったとはいえ、私がナチュラムさんに送信したメールの日本語が酷い・・・(笑
2008.08.11
| ナチュラム個人情報漏洩問題
| Comments(2) | Trackback(0)
