【悲報】 eLTAX、 POODLE 対策が2年以上できていない事がブラウザのポリシー変更で発覚、ハッキングし放題?

https://www.portal.eltax.jp/apa/todokede/

poo
あれ繋がらない

poo2
SSL Server Test: www.portal.eltax.jp (Powered by Qualys SSL Labs)

どうやら、POODLE(TLS版)の脆弱性が放置されているようだ
Poodle Bites TLS – Network Security Blog | Qualys, Inc.
これね

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大|GMOグローバルサインブログ
TLS版の Poodle の問題が明らかになったのが 2014年12月頃

平成26年度事業報告書

)情報セキュリティ情報への対応

セキュリティの脆弱性に関して公表される情報に基づき、協議会の各システム担当者に対し情報提供を行うとともに、システムへの影響の有無を確認し必要に応じ対応を求めることとした。
ア Shell Shock(Bashの脆弱性)への対応
協議会情報システム及び事務局情報システム共に対策を実施した。
イ  POODLE(SSL3.0の脆弱性)への対応
協議会情報システムは対策実施を検討中。事務局情報システムは対策を実施した。

26年度の報告書ってことは、2015年初頭だよね?(文書の日時は 2015年6月)
SSL3.0対応の事しか書いてない…。

つまり、2年間脆弱性放置で運営してる訳だ

POODLEを使うと、クッキー等やTokenを盗めるので、下手したらアカウントやセッションを乗っ取ったりできる模様。

お手軽ハッキング、eLTAX 地方税ポータルシステム ですね ・ω・

おすすめ

2件のフィードバック

  1. ななし より:
    2017年5月30日 10:13 PM

    なんかもう、ここまで来ちゃうと「金庫番を泥棒に任せてどうすんねん」って、笑われるだけじゃないかなと。
    まあ元請けに儲けさせて、キックバック得るためにわざとやってんじゃ?
    なんて思ったり。

    返信
  2. ななし より:
    2017年5月30日 10:13 PM

    なんかもう、ここまで来ちゃうと「金庫番を泥棒に任せてどうすんねん」って、笑われるだけじゃないかなと。
    まあ元請けに儲けさせて、キックバック得るためにわざとやってんじゃ?
    なんて思ったり。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です