アカウント名:
パスワード:
メアドと電話番号って簡単に知り得るか?ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
セキュリティ的には確かにお粗末だけど、影響範囲は狭そう
メアドと電話番号って簡単に知り得るか?
メールアドレス・カナ氏名は Facebook などのSNSで公開している人もいるし、ある程度の年齢(40代以降ぐらい)の世帯であれば過去に電話帳に掲載していた人も多いので、フルネームから 住所でポン! [jpon.xyz] で固定電話番号を特定できたりします。全国共有電話帳アプリで76万件の個人情報が一般公開された [mobilelaby.com] ので、氏名と関連付けられて携帯電話番号が漏えいしている人もいます。
ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
会員登録数は公表されていないようなので推計するしかなさそうです。帝国データバンクの調査 [tdb.co.jp] によると、『レンタカーブランド別に 2015 年度の売上高構成比を見ると、「大手 6 ブランド」が 91.5%(9049 億 1300 万円)を占めた。』とのことなので、全体の売上高は約1兆円です。日産レンタカーの売上高は1,216億円 [nissan-fs.co.jp] なので、約1割強のシェアと言えます(厳密には売上高とシェアは完全には比例しないし、利用者の法人比率が違うかもしれないので、あくまでも推計です)。
レンタカーの利用経験は全体の51.8% [sankei.com] らしいので(母集団に偏りがあるかもしれませんが)、日産レンタカーの利用経験がある人は500万人ぐらいはいるのではないでしょうか。23ボーナスクラブ会員に登録することで大幅に割引になる [nissan-rentacar.com]し、店舗でも強く勧められることから、会員登録した割合が8割ぐらいあるとすると、400万人ぐらい対象者がいそうです。
メールアドレスに対応している生パスワードが漏えいしてしまうと、パスワードを使いまわしている大多数の人の場合、ありとあらゆるWebサービス(Googleアカウント、Amazonなどのショッピングサイト、オークションサイト、その他)が悪用されてしまうので、影響範囲は非常に広いです。
ユーザーのパスワードの使いまわしは防ぎようがないので、Webサービスの提供者側がパスワードの保護に相応しいハッシュ関数を使って生パスワードを保護すべき [srad.jp] なのです。
日産レンタカーは、パスワードリマインダーの悪用で顧客の生パスワードが第三者に不正に取得された恐れがあるのに、その事実を未だに公開していません。過去にパスワードリマインダーが使われた顧客をログから抽出して、メールなどで連絡するといった対応を行って、被害に遭った人に対してパスワードの変更(使いまわしをしている場合は他のWebサイトも)を呼びかけるべきです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
え? (スコア:0)
メアドと電話番号って簡単に知り得るか?
ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
セキュリティ的には確かにお粗末だけど、影響範囲は狭そう
影響範囲は広いし、悪用リスクも高い (スコア:4, 興味深い)
メールアドレス・カナ氏名は Facebook などのSNSで公開している人もいるし、ある程度の年齢(40代以降ぐらい)の世帯であれば過去に電話帳に掲載していた人も多いので、フルネームから 住所でポン! [jpon.xyz] で固定電話番号を特定できたりします。全国共有電話帳アプリで76万件の個人情報が一般公開された [mobilelaby.com] ので、氏名と関連付けられて携帯電話番号が漏えいしている人もいます。
会員登録数は公表されていないようなので推計するしかなさそうです。帝国データバンクの調査 [tdb.co.jp] によると、『レンタカーブランド別に 2015 年度の売上高構成比を見ると、「大手 6 ブランド」が 91.5%(9049 億 1300 万円)を占めた。』とのことなので、全体の売上高は約1兆円です。日産レンタカーの売上高は1,216億円 [nissan-fs.co.jp] なので、約1割強のシェアと言えます(厳密には売上高とシェアは完全には比例しないし、利用者の法人比率が違うかもしれないので、あくまでも推計です)。
レンタカーの利用経験は全体の51.8% [sankei.com] らしいので(母集団に偏りがあるかもしれませんが)、日産レンタカーの利用経験がある人は500万人ぐらいはいるのではないでしょうか。23ボーナスクラブ会員に登録することで大幅に割引になる [nissan-rentacar.com]し、店舗でも強く勧められることから、会員登録した割合が8割ぐらいあるとすると、400万人ぐらい対象者がいそうです。
メールアドレスに対応している生パスワードが漏えいしてしまうと、パスワードを使いまわしている大多数の人の場合、ありとあらゆるWebサービス(Googleアカウント、Amazonなどのショッピングサイト、オークションサイト、その他)が悪用されてしまうので、影響範囲は非常に広いです。
ユーザーのパスワードの使いまわしは防ぎようがないので、Webサービスの提供者側がパスワードの保護に相応しいハッシュ関数を使って生パスワードを保護すべき [srad.jp] なのです。
日産レンタカーは、パスワードリマインダーの悪用で顧客の生パスワードが第三者に不正に取得された恐れがあるのに、その事実を未だに公開していません。過去にパスワードリマインダーが使われた顧客をログから抽出して、メールなどで連絡するといった対応を行って、被害に遭った人に対してパスワードの変更(使いまわしをしている場合は他のWebサイトも)を呼びかけるべきです。