個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる 34
ストーリー by hylom
さすがGoogle! 俺たちにできないことを平然とやってのけるッ! 部門より
さすがGoogle! 俺たちにできないことを平然とやってのけるッ! 部門より
あるAnonymous Coward 曰く、
メールアドレスなどを含む楽天メールマガジンの設定変更画面がGoogleによってクロールされ、そこから個人情報が漏洩する、という事件が起きている(セキュリティホール memo)。
この件については「水無月ばけらのえび日記」が詳しいが、 「site:emagazine.rakuten.co.jp」というキーワードでGoogle検索を行うと、ユーザーごとのメールマガジン設定変更画面が検索結果として一覧表示されてしまう。設定画面自体は検索結果をクリックするだけでは確認できないが、Googleのキャッシュ機能を使ってその内容が見えてしまうものもある。
また、GoogleだけでなくWindows Live Searchでも同様のものがヒットするということで、原因はまだ分かっていないようだ。
「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記によると、ソーシャルブックマークに間違って(もしくは無意識に)設定変更ページを登録してしまったのが原因の1つではないか、と推測されている。
もっと怖い話 (スコア:5, 興味深い)
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……
……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。
楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。
Re:もっと怖い話 (スコア:4, おもしろおかしい)
>4文字は何でしょうね
「楽天」をダブルバイトでと推理してみる。
Re:もっと怖い話 (スコア:2, おもしろおかしい)
#そんな昔に戻りたい。
Re:もっと怖い話 (スコア:1)
単にキーの重複を防ぐ為のものでは?
元の暗号化も単なるハッシュを変換しただけどか
Re: (スコア:0)
その暗号文のHMAC 4byteをくっつけて改ざん防止 。
というところではないでしょうか。
Re: (スコア:0)
携帯サイトなら、しかたがない部分もありますが。。。
社会的にどーのこーの以前に、日本を代表する(知名度的な意味で)IT企業の技術力の低さに腹が立ちます。
# また、「楽天のせいじゃありません」っていうんだろうなぁ。^^;
NTTドコモは cookie 対応にするべき (スコア:4, すばらしい洞察)
さすがにGoogleの責任じゃないでしょう (スコア:2, 興味深い)
Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
公開ブックマークに不用意に登録した結果だけでなく、掲示板などに本人が書き込んだ(cf.「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記 [bakera.jp])ものもあるようです。
一番悪いのは、URLにセッション追跡や認証のための情報を埋め込んだ楽天のような気がします。
Re:さすがにGoogleの責任じゃないでしょう (スコア:1, すばらしい洞察)
GoogleChromeが犯人という説もまだ否定できないし、ソーシャルブックマーク
という線も確定ではないよ。
検索してみた限りでは、ソーシャルブックマークらしきページは出なかった。
少なくとも、セッション管理をやっていない楽天のシステムが悪いというのは
確定しているけど。
楽天の技術力って、こんなもんなんですかね。
お金だけ持ってても仕方ないな。
Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
担当者も、間に入ったSIもひどかったです。
システムに結構大規模な変更を行うというのに、
・同等システムでの事前検証は(時間もコストも無いから)やらない
・連絡が来たのが変更の10日前
・「重要なシステムなので、当日は現地で待機して、何かあったらよろしく」
てな感じでした。
純粋な技術的なスキルのほどは分かりませんが、システムの管理/運用スキル
というかリスク管理というか、その辺りは同規模/同重要度のシステムを運用する
他の会社よりもかなり劣る、という印象でした。
もっとも、それは必要なコストもケチるという体質の表れというだけなのかも
知れませんが。
#今も余り変わってないのかなあ。
Re:さすがにGoogleの責任じゃないでしょう (スコア:1)
販売
仲介
金融
楽天の主要なサービスは最下段のやつだとおもうので、そんな会社に技術力を期待しても無駄では?
Re: (スコア:0)
Re: (スコア:0)
トラブルが多すぎて監督官庁から指導を何度も食らったり。
Matzが研究員になったからって、それが一斉に直るとは思えない。
風評被害も何も、露呈している事実だけで技術力が足りてないと断言できるし。
今回の検索エンジンにクロールされて公開されたセッションハイジャックの
ぜい弱性の対応だって、とりあえずの対応がrobot.txtに追加してクロール
されないように宣言しただけではないかという疑惑が。
なんで脆弱性を直すとか、とりあえずインターフェースをアクセス停止にする
とかいう対応ができないのかな。
Re: (スコア:0)
他にロボット検索で晒される例 (スコア:1)
アクセスログ解析結果がいろいろと検索で引っ掛かる事もありますね。
=-=-= The Inelegance(無粋な人) =-=-=
とりあえず (スコア:1, 興味深い)
ので、早晩キャッシュから削除されるでしょうが、さすがにちょっと無防備
すぎましたな(´ー`)y-~~
#でも、robots.txtを読まない系のチキンなクローラーが来たりすると……
Re:とりあえず (スコア:3, 参考になる)
#念のためACで
Re: (スコア:0)
信頼とは逆の方向に突っ走っているのを何度もみたので。
あまり近づかないほうがいいって感じしかしないんですが。
楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1, 参考になる)
なので、このURLが漏洩すれば私が取得しているメルマガがすべてわかるわけです。
これがダイナミックリンクで有効期限があれば、問題はかなり薄まると思うのですが………
Re:楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1)
これで仕様変更があるとしたら、面倒だけど作り直しだなぁ。
#一時期5分ごとに実行してキャンペーンとかで自動登録されるタイミングを割り出そうとしたりしたっけな
楽天メールマガジン情報漏洩続き (スコア:1)
1を聞いて0を知れ!
つまり、自分でブックマークした人だけなの? (スコア:0)
まー、幸か不幸か、楽天市場のIDと、メールマガジンは別々ですから、
メールマガジンのアドレスが漏れるだけで、それほど被害はないと思いますがね
Re:つまり、自分でブックマークした人だけなの? (スコア:2, 参考になる)
検索エンジンのクロールによってだと思いますので、被リンクのあるページだけになると思います。
害についてですが「本名」と「メールアドレス」がセットでバレるのは人によっては結構いたいです。
C# と VB.NET の入門サイト [wankuma.com]
Re: (スコア:0)
Re: (スコア:0)
メールアドレスと、購読しているメールマガジンから個人の(性的)志向がセットでバレるのは問題だと思いますけどね
前にあったamazonのほしい物リスト騒動に近いかと
Re:つまり、自分でブックマークした人だけなの? (スコア:1, 参考になる)
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 [srad.jp]
自分がやっちゃいそうな操作ミスを書いてみる (スコア:0)
ロケーションバーの★印をクリックしてしまう。
この★はfeedボタンかURLドロップダウンと近いので押してしまうことがある。
# ソーシャルブックマークも楽天も使ってません念のため。
# ミスるのも拡張入れるのもユーザーなのでFirefoxが悪いとは思いませんが、
# 拡張開発者は未分類フォルダ内のものをソーシャルにぶっこまない設定できるようにはするべきか
以前あったけど (スコア:0)
あれ、使い方にもよるけど部署名と個人名が晒されるんだよね…
少なくとも最近のでは META よけしてるはずなんだけど、なんで引っかかる
サイトがあったのやら… まあ自分のところは引っかかってなかったから
それ以上気にもしなかったんだけどさ。
誰? (スコア:0)
検索エンジン
検索エンジンのキャッシュを見た人?
Re:誰? (スコア:1)
不正アクセス行為の禁止等に関する法律
// 改行は引用者が付加
いかにも法律っぽい、くどい言い回しにもめげずに、
5分ぐらい眺めていると、何となく意味が分ります。
これを見ると、sbmから「アクセス制御機能に係る他人の識別符号」
を引っ張ってきて、サーバにハンドル名や購読メルマガを表示させた
って事で、検索エンジンが一号に該当するような気が。
『メルマガの登録urlが「識別符号」になるの?』とか、
『そんな物騒な「識別符号」をsbmに貼り付けるのって、どうよ?』
みたいな話とか出てくると思うけど、そこら辺は識者にまかせた!
(ノ∀`) (スコア:0)
氏名,生年月日,性別,都道府県までわかるんだからSPAM屋が大喜びですね(ノ∀`)
公開される想定すると... (スコア:0)
PCサイトの場合、URLリライティングを使うなで、済むかもしれませんが、
携帯サイトの場合、かなり、面倒な話になりませんか?
おそらく、端末識別IDと組み合わせる案があると思いますが、ウィルコムはだめでしょ?
Cookieとの併用にすると、iモードがだめだし...
現状で、見ると、携帯サイトで、URL公開されても大丈夫なんて仕様で作ってるところもあるとも思えない。