« W-ZERO3のToday画面 | メイン | アルミンク指揮新日本フィル/オネゲル:劇的オラトリオ『火刑台上のジャンヌ・ダルク』 »
2006年02月10日
PEACH JOHN携帯サイトで脆弱性
PEACH JOHN: 携帯サイトにおけるお客様情報閲覧事故に対するお詫び
2月5日、auおよびVodafoneの携帯端末をご利用のお客様より『注文履歴の確認をするためアクセスしたところ、自分のものではなく他のお客様の履歴画面が表示されてしまう』とのお問い合せがありました。これを受けまして弊社で事態の確認を進めましたところ、2月5日に行った、au及びVodafone携帯サイト機能向上のためのプログラム修正の中に、不具合があり、それにより他のお客様の履歴画面が一部閲覧できる状態が発生していたことが判明しました
クロスサイトスクリプティング、あるいはクロスサイトリクエストフォージェリですね。
おそらくセッションの入出力方法に問題があったと思われます。
「クレジットカード番号の全てが閲覧対象となった可能性は最大70件あり」っておそろしいことも書いてあり、根本的なプログラムの仕様やDBの作りにも問題がありそうです。
少なくともワタクシが作っているサイトではこのようなことは起こりえませんが、認識していないセキュリティホールが存在している可能性はゼロとは言えず(どんなプログラムでもそうですが)、他人事ではなく、いつもビクビクしています。
投稿者 Utayume : 2006年02月10日 17:41| 05 Work(Perl, PHP, etc)
AD
トラックバック
このエントリーのトラックバックURL:
http://ondes-martenot.info/MT/mt-tb.cgi/632