パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い」記事へのコメント

  • by Anonymous Coward

    パスワードリセットにメアドだけでなく氏名が必要な時点で察した

    • by Anonymous Coward on 2020年08月02日 13時19分 (#3863270)

      なにを察したのかわからなかったが、秘密の質問よりはマシじゃないかと。

      # 文章的にメアドと氏名だけでリセットできてしまう ということの指摘でもないらしいし。
      # もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。

      親コメント
      • by Anonymous Coward

        ># もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。

        良いだろうと思います
        パスワードリセットしたところで
        パスワード再設定用のリンクは結局そのメアドに送られるわけです
        だとしたら結局そのメールは本人しか受け取れない前提です
        ですので結局パスワードリセットもメアドだけで良いはずです

        なので、私もなにを察したのかわかりません。
        そもそもパスワードリセットにメアドだけでなく氏名が必要ということですが
        それ自体ソースがないので事実かどうかわからないのですが。

        • by Anonymous Coward

          キャリアメールアドレスなどは変えられるけど一定期間後に他人が取得することもできるので、
          私はこういうたまにしかつかわれないサービスの場合にもう一つ情報を求められること自体は否定はしないです。
          キャリアメールアドレスが唯一のメールアドレスという人は少なくない(うちの親などはそうです)とも思います。

          攻撃者側視点だと、そのメールアドレスが使われてたこと、そのサービスが使われてたことまで知っていないといけないですが、迷惑メール送信してエラーが帰って来るようになったらそういう攻撃に切り替える集団もいるのでは・・・などと妄想してみたり。
          利用側視点では(悪意なく)重複した場合に登録済みと言われ登録していたかと思ってリセットしたら前の人の情報が出るというのも。

          まぁ、最近キャリアメールアドレス変更する人ややめる人がどれほどいるのかわからないですが。(だから必須だとまでは言わないですけどね)
          一時期は迷惑メール回避の為に変更しましたって送って来る人は結構いましたけど。

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...