アメリカでは、日本以上に炎上してるみたいです。
アメリカでもiPhone 4の予約が始まったのですが、予約システムがダウンするやら何やらカオスになってしまいました。
しかも、AT&Tの関係者情報によると、このカオスはAT&Tでの「不正なシステムアップデートが失敗したこと」と関連しているようなのです。このバグによって、AT&Tはユーザーの個人情報を漏洩してしまっています。iPadの登録者情報が漏れてしまった件に引き続き、もうぼろぼろです。
実際にその漏洩を体験してしまった米Gizmodo読者からも、どんどん報告が送られています。
何が起こるかというと、まず、ユーザーがiPhone 4を予約するため、AT&TのWebサイトから、自分のアカウントにログインしようとします。ユーザーネームとパスワードを入力すると、なんと別のユーザーアカウントのページに飛んでしまうのです!つまり、全く知らない人の住所、通話履歴、請求金額などなど個人情報・プライバシー情報が丸見えです。
どうなっちゃってるのか、詳細を続きでお伝えします!
以下は米Gizmodo読者のjohn kingさんから報告されたケースです。
From: john king
Date: Tue, Jun 15, 2010 at 2:04 PM
Subject: AT&TのWebサイトで、別のカスタマーとしてログイン
自分のアカウントでログインしたら、メアリーなんとかって人が表示されたー。大問題。
-JPK
が、AT&T関係者によると、報告されていないケースがもっとありそうです。このログイン問題は、情報源によると、おそらく先週末行われたAT&Tのサーバー側のソフトウェアアップデートがうまくいかなかったことから発生しているようです。
私はサードパーティのオーダー処理施設で働いています。AT&Tでは3CCと呼んでいる施設です。法人対法人、法人対個人のWireline Indirectと、ACME/PAC(AT&T内部でiPhone系のサービスをこう呼びます)を処理しています。3CCにいるエージェントはAT&TのPhoenix、Telegence、Compass、Ordertrack、myCSPというプログラムを使ってオーダーを処理していきます。
先週末、AT&Tの全システムについて不正アップデートがありました。土曜日の夜から日曜日の早朝にかけてです。それで全システムがダウンして、エージェントはシステムを全く使えなくなりました。
今、AT&Tのストアとかオンラインで起きている問題は、今回のアップデートの失敗と関連している可能性が高いです。
今回のシステムアップデートに関して、新iPhoneのローンチ前には全くテストが行われていなかったことがわかっています。現時点ではまた聞きですが、週末に全オーダーシステムとプログラムに関して機能停止があったことも、複数のシステムがアップグレード・アップデートされ、その一部が不正なものであることも確認ができます。
今は、AT&Tが自動オーダーの処理に使っているシステムは完全にダウンしていると言えます。我々の施設では、電話でも自動でも、まったくオーダーを処理できない状態です。
(個人情報問題について)ログイン時に別のユーザー情報が表示される問題が起きるときはいつも、顧客情報を含むデータベースに問題があります。こうした情報を含むオーダーに関しては、顧客情報を取り違えることがあり、ログアウトして再ログインすると、別のアカウントが見えてしまいます。つまり、複数回ログインすると、そのたびに違う顧客情報が見えるんです。珍しいケースではありますが、これまでにも起こっています。
現時点では、大規模なプライバシー漏えいになりかねないので、(iPhone 4に)アップグレードしないよう、皆さんに助言した方がいいかもしれません。
とはいえ、残念ながら、自分がアップグレードしなくても、他の人がアップグレードしようとしたら、自分の情報が見えてしまった状態のようです。最初に米Gizmodoでこの件をレポートしたところ、AT&Tはオンラインシステムを閉じました。
今現在(米国東部時間で2010年6月15日、午後3:34)、アカウントシステムは復旧したようですが、iPhone 4の予約ページはまだダウンしたままです。
AT&Tからもアップルからも、このセキュリティ問題、またはiPhone 4予約にまつわる全国的な大混乱についての声明はありません。
以下、米Gizmodo読者から報告されている情報漏洩のケースをお伝えします。
From: Ethan
Date: June 15, 2010 4:05:15 PM EDT
Subject: http://gizmodo.com/5564262/apple-iphone-4-order-security-breach-exposes-private-information
予約に浮かれてATT.comにログインしたんです。そしたら即、誰か他人の個人情報が見えました。自分のiPhoneを別人の名前で登録しちゃったかも、と思って、ページを更新してみたんです。そしたら自分のアカウント情報が表示されました。
記事に加えてもらえればと思って、送ります。
- Ethan
From: Matthew Canning
Date: June 15, 2010 3:38:53 PM EDT
Subject: セキュリティブリーチのスクリーンショット追加
僕もやられました。添付を見てください。
Matt Canning (Andrewじゃありません)
(注:画像中ほどにある名前が、ANDREWになっています。)
From: Richard Sobel
Date: June 15, 2010 4:26:46 PM EDT
To: [email protected], [email protected]
Subject: AT&T、まだ壊れてる
「Manage My Account」をクリックして、ハッキング経験なんかない自分でも、誰かのアカウントデータが見えるか試してみました。ええ、アカウント情報を表示してくれましたよ。
僕はMichaelじゃないんですけど。
(注:画像中ほどに「MICHAEL」の名前が表示されています。)
From: Ryan Jones
Date: Tue, Jun 15, 2010 at 3:59 PM
Subject: 「AT&Tで別人としてログイン」のケースその4
AT&Tのセキュリティブリーチについてコメントした、orangebluedevilです。僕は、米海軍の軍人としてログインできました。ハワイ在住で、名前はスコットらしいです。
From: SATX MINI
Date: June 15, 2010 4:45:05 PM EDT
Subject: iPhone 4予約のセキュリティブリーチでプライベート情報漏れ
ディアスさんこんにちは。
この件はすごく広範囲らしいってことをお伝えしたいと思います。自分にもこの現象が起きてから、AT&Tに電話問い合わせしてみました。そしたらすぐ、キャッシュとクッキーをクリアして再度やってみるように言われました。スクリーンショットを撮ったと伝えると、Aloricaって会社(カスタマーサービスの会社でしょうか?)のマネージャーのメールアドレスを教えられました。それ以上に関心はないみたいでしたが...。AT&Tからこの問題が早く公表されることを願います。
David
From: David Anderson
Date: June 15, 2010 4:56:30 PM EDT
Subject: iPhone / AT&T セキュリティブリーチ
僕にも同じことが起こりました。ログインしたら、フロリダにいるパトリシアっていう女性のアカウントが表示されました。混乱してログアウトし、再ログインしました。スクリーンショットを撮るなんて考える余裕ありませんでした...
ご参考までに。
David
From: Jon Scheidell
Subject: AT&Tセキュリティブリーチ
Date: June 15, 2010 6:03:07 PM EDT
To: Jesus Diaz>
Cc: [email protected], [email protected]
ジーザスさんの記事に関連情報です。もうひとつ、今日のAT&Tの個人情報取り違えのケースです。
今回のケースでは、空軍/政府のカスタマーのアカウント情報が漏れてしまっています。
スクリーンショットは、2010年6月15日、12:55:47米国東部時間のタイムスタンプでファイル名が付いています。
AT&Tと空軍のabuseにもCCしています。彼らも調査したいかもしれないので。どちらも、僕に直接コンタクトしたければどうぞ。
From: Charles J. Birk
Subject: http://gizmodo.com/5564262/apple-iphone-4-order-security-breach-exposes-private-information
Date: June 15, 2010 6:51:10 PM EDT
To: Jesus Diaz
おすジーザス、
おれもだった。AT&T最悪。
- Charles
それにしても、iPadユーザー情報も漏らしちゃうし、さらにiPhone 4の予約でもこの体たらく。みんな楽しみにしてることなんだから、しっかりしてほしいですね。
Jesus Diaz(原文/miho)
