メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
メッセサンオーでPCゲーム通販の顧客情報がネットで流出したそうで、えらい騒ぎになってますね。
20年くらい前に行った時は、確かパソコンソフトと普通の同人ソフトのお店だったと思うのですが、今は18禁ソフトや、同人ソフト、フィギュアの販売など、完全にマニア向けの商売やってるんですねぇ|・ω・)
で、お客さんが何買ったかとかという情報に加えて、個人情報が完全に流出してしまってるので、さぁ大変という事情のようです。
何で流出したのかをショッピングカートを開発した業者のホームページを見てみたところ、信じられないようなことが書かれていました。
設置方法Q&A14-管理画面の呼び出し方法 - WEBインベンター
| 管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。 |
多少、CGIをかじったことがある人ならお分かりでしょうが、アドレスバーにパスワードが含まれるのは、GET METHODで FORMデータのやり取りをしているからです。
さらに、セッション管理ではないので、延々とHIDDEN プロパティで全てのページにパスワードを含むURIを投げる仕組みになっているようです。
漏れている、URLをみると、httpsになっていますが、これは、URLの情報がインターネットを経由する時に、プレーンテキストで流れないという意味合いを持つに過ぎません。
どういうことかは、後述します。
さて、そのサイトさんで、今日付けで、CGIの対策を行ったと書かれているので見てきました。
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
| さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによ るものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施しましたので、お知らせいたします。
対処方法: |
単に、一般仕様に基づく検索エンジンにクロールされないようにする対処しかされていません。
つまり、Meta tagを無視してクロールする悪意のある検索エンジンがあった場合、無意味です。
さて、https(SSL)を用いているけど意味がないというのはどういうことかと言うと、
ブラウザのURLにパスワードが含まれた時点で以下の様なリスクがあるからです。
・Googleサジェストの様に、アドレスバーの中身をデータベースに登録して候補と参照するサービスによるもの。
・フィッシングサイト検出機能の様に、アドレスバーの中身をデータベースと比較するサービスによるもの。
・JWORDの様に、アドレスバーの中身を丸ごと収集するサイトによるもの。
・はてなツールバーやGoogleRankingの様にアドレス情報自体を扱う機能によるもの。
・リファラーが何らかのはずみで、URL情報を送信(例えば、埋め込み検索エンジン)
・Google Bookmarkの様なサービスに情報が登録されてしまった場合。(例えば、FirefoxはCtrl+D+Enterを連続で押すとお気に入り登録されてしまうことに気づかない)
数千人の個人情報が流出したとありますが、検索結果のほとんどのURLが流出しているところをみると、多分ツールやGoogle Chrome のサジェストみたいなものが情報収集したんじゃないかなと推測します
そんな訳で、常識的に考えれば、URLにパスワードが出てくるのをフレームで隠蔽するだけの処理を勧めるなどあり得ないわけなのですが|・ω・)
これは、メッセサンオーが訴えてもいいレベルだと思うんですがいかがなもんでしょう。
ちなみに、ここに Webインベンターさんの携帯版サイトあるわけですが、サンプルのショッピングカートのURLが見事にグーグルにキャッシュされてることからも危険性がよく分かりますw
調べてみると、他にも、管理パスワードが漏えいしているサイトがありますね…。だめだこりゃ。
現時点でGoogleにパスワードごとキャッシュが漏えいしているサイト(サイト管理者に連絡済み)
mobile-inventorサンプル1
mobile-inventorサンプル2
メッセサンオーPCソフト通販部
某D 衣類関連のモバイルサイト
某M 音楽サイト
某F 模型通販ショップ
某G モータースポーツショップ
Googleに過去に漏えいしていたサイト(サイト管理者に連絡済み)
某R ブランドショップ
某C アクセセショップ
漏えいする可能性が高いサイト
現金問屋 安住商事
MOBILE SHOP ERO POP
かにのプロが厳選する安くて美味しいかにの通販なら『かに伝説』
B-GeneRATEd(ビージェネレイテッド)
ブルーベリーの村ネットショップ
カントリー家具,雑貨 ドリームキャッチ
お香・お線香・癒しの香り《薫香堂》がお届け致します
裏DVD無修正DVD販売K&M
裏DVD・無修正DVD PEPPERMINT
リメイクファクトリー 一の井
花の店KE-SE-LA
★DVD爆裂販売★
きものサロンさかもと
スケボーグッズショップハックルベリー
NoveComi(ノベコミ)ボーイズラブShop
修正済みサイト
某R Shop
関連サイト:
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch
痛いニュース(ノ∀`):人気ゲーム店「メッセサンオー」、ネット通販のエロゲ購入者などの情報流出…ネットで祭り状態に
「メッセサンオー」通販客1405人の住所、氏名などがネットで閲覧できる状態に - ITmedia News
人気ゲームショップが個人情報を大流出! 住所・氏名・性別・電話も漏洩 - livedoor ニュース
ゲームショップ個人情報大流出でコメント「流出に至った経緯を調査している」 – ロケットニュース24(β)
関連記事:
【続報】メッセサンオー顧客情報流出のWEBインベンダーの対応について(4/7 8:30公開予定)
Translate
高木浩光先生にも吊るされるべき
高木浩光先生にも吊るされるべき
あ、やっぱり。
いつかこんな事になるだろうとは思っていたので店頭購入しかしないのよね。
>サンオー
あ、やっぱり。
いつかこんな事になるだろうとは思っていたので店頭購入しかしないのよね。
>サンオー
おもしろすw。
というか酷過ぎるw。
僕でももう少しましな物を作ると思うw。
おもしろすw。
というか酷過ぎるw。
僕でももう少しましな物を作ると思うw。
ワロタ
もうm9(^Д^)プギャーしかないなあ
ワロタ
もうm9(^Д^)プギャーしかないなあ
昨日は、思わずGoogleのキャッシュを覗いて近所の人を見つけてニヤニヤしてました。
昔は山櫻電機とかいうお店で、電機屋さんでしたよね。気が付いたらソフト屋になっていました。このお店でメガドラのソフトを買った覚えがあります。80386超速えー扱いだったころです。
事件のことは知ってましたが、昨日もSTGを注文しました。18禁は買わないし、多少漏れても気にしないです。
プギャーだのなんだのと後付けでいろいろ言ってる人たちはレベルが低いですね。
昨日は、思わずGoogleのキャッシュを覗いて近所の人を見つけてニヤニヤしてました。
昔は山櫻電機とかいうお店で、電機屋さんでしたよね。気が付いたらソフト屋になっていました。このお店でメガドラのソフトを買った覚えがあります。80386超速えー扱いだったころです。
事件のことは知ってましたが、昨日もSTGを注文しました。18禁は買わないし、多少漏れても気にしないです。
プギャーだのなんだのと後付けでいろいろ言ってる人たちはレベルが低いですね。