【暫定対応済み】日産レンタカー、メールアドレスと氏名と電話番号があれば全個人情報にアクセスできる事が発覚！

レンタカーの予約ならいつも笑顔の日産レンタカー
何の変哲もない日産のレンタカーのページ

ところが、パスワードを忘れたときのページにアクセスすると…。

ログインID（メアド） と 氏名（カナ）と電話番号を聞いてくるのです

これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか？

パスワード生で表示！！

なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。

そして、このパスワードでアクセスすると？

▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ

問題点１． 電話番号とメアドと本名の読み方を知っていれば、運転免許番号、住所、生年月日、第二メールアドレス、第二電話番号、漢字の氏名・・・と言った全情報がゲットできてしまう！

問題点２．パスワードを簡単に平文表示できるということはハッシュで保存してない。最悪の場合、平文で保存している

これはひどいｗｗｗｗｗ

ソース元 http://twitter.com/toeic990/status/850549983547760640

日産レンタカー怖い。メルアドと名前と電話番号でパスワード表示される。リセットしゃなくて、表示。 2017/4/8 12:24:53 https://t.co/s60u23zmDr

おまけ：

https://nissan-rentacar.com/login/registration_changes/leave_complete/

退会確認画面。誰でも見えることが発覚(笑)

＃一応、日産には通報済みなんですが、
・SI業者によると当時の時点ではセキュリティが担保されているとの見解　（←当時でもおかしいと思う）
・7月のホームページのリニューアル予定があるので今からの変更はあんまり乗り気じゃない感じ？　（←えっ、急ごうよ）
・パスワードの再発行画面だけでも使用不能にして、サポートで対応した方がいいとアドバイスしたのですが、ホームページがロックされていて変更できないという話(謎)　（←えっ、急ごうよ２）
・後、パスワードを生で保存してる件について、全然問題だと思ってないみたいだった。　（←改めて指摘しておきました）
多分、また連絡が来る予定なので、何かあれば追記します。

ちなみにインターネット会員自体は15年前からある模様。
23ボーナスクラブは 2001年から存在します
パスワード再発行の画面は 2012年ごろまでさかのぼって確認できます
2004年2月には、パスワード再発行の仕組みが存在します

恐らく13年~15年、脆弱なまま放置･ω･

16:00 追記：

仮対策されましたが、リンク先が生きてるという手抜き。
意味ないでしょ…これ ・ω・

日産レンタカーの人、SIの業者にやらせてるって言ってたけど、そこ大丈夫なの…？
※ こっちも、日産レンタカーに電話で指摘済み

17:45 で対応された模様･ω･

ベネッセもでした