パスワードを忘れた? アカウント作成
13273129 story
インターネット

パスワード変更不可な米長距離バス会社のWebサービス 109

ストーリー by headless
固定 部門より
米国の長距離バス会社GreyhoundのWebサイトGreyhound.comでは利用者向けのポイントプログラムを提供しているのだが、登録した会員はパスワードを変更することもできないそうだ(Ars Technicaの記事)。

パスワードの保存に弱いハッシュが使われていた、クレジットカードのセキュリティコードを保存していた、といったWebサイトのバッドプラクティスはたびたび話題になるが、Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり、パスワード変更機能自体が用意されていないとのこと。

これについてGreyhoundの広報担当者はArs Technicaに対し、指摘された問題は将来的に対応を行う計画だが、Webサイトでチケットを購入する際に顧客の決済情報が盗まれたことはないなどと述べているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ymasa (31598) on 2017年05月07日 13時59分 (#3206267) 日記

    関連に日産レンタカーがないね。

    日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる
    https://security.srad.jp/story/17/04/13/0619224/ [security.srad.jp]

    当該問題であれ日産レンタカーであれ、完全退会ができればまぁ良しとするんだけども。

    //たまに思うのはこういうサービスで「会員登録なしで利用する」って機能が欲しいですね。

    • by Anonymous Coward

      会員登録無しならデータに記録が残らないなどと、いつから錯覚していた?

      • by ymasa (31598) on 2017年05月07日 15時27分 (#3206299) 日記

        会員登録無しならデータに記録が残らないなどと、いつから錯覚していた?

        「データに記録が残らない」って意味が不明ですが

        「会員登録なしで利用する」はデータが残らないのではなく
        パスワードやログインがないです。

        //絶対ないかと言われれば知りません。

        親コメント
  • by Anonymous Coward on 2017年05月07日 18時25分 (#3206378)

    そういえばDAZNの登録メールアドレス忘れたときに
    クレジットカード番号の下4桁でリセットできるみたいなんだよね。
    その後パスワードリマインダを使えば……
    カード番号なんて公開されている情報ではないとはいえ、実質
    4桁の数字がパスワード同等の扱いになることには違いはないんだよな
    #さらに最後の一桁はチェックデジットだからランダムな数字ではないし
    それともリセットの過程でさらなる本人確認があるんだろうか

  • by Anonymous Coward on 2017年05月07日 13時50分 (#3206264)

    新しいパスワードを安全に受け付けるシステムを作るのが面倒臭いんだろうが、なら再生成受付だけの機能にしてはどうか。
    メールアドレスを入れるとトークン付き再設定リンクが送られて、飛ぶと再生成した新しいパスワードが表示されるだけ。
    要は本人以外に窃取されなければ良いんだ。

  • by Anonymous Coward on 2017年05月07日 14時08分 (#3206270)

    Webサイトよりも、バスターミナルの近所の方がよほど危険な模様

    # 地価が安いからか、治安の悪いエリアが多い印象が

    • by Anonymous Coward

      それならなおのことセキュリティ重要だろ
      そんなところに端末置いてたら
      ケンジントンぐらいなら軽く持ってかれるだろうし
      だから端末にデータ置けないし
      サーバーも安全なところに置かないといけないし

  • by Anonymous Coward on 2017年05月07日 14時09分 (#3206271)

    > Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。
    いや平文で保存しているかどうかはこれではわからんでしょ。
    アプリケーションに暗復号の機能を用意して、保存時は一応暗号化して、必要なときだけ復号してメールに印字してるのかもしれないし。

    …と思ったけど
    > また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり
    ダメくせぇなこれwww

  • by Anonymous Coward on 2017年05月07日 14時16分 (#3206273)

    たしかに実装はお粗末過ぎるとは思うし、個人情報漏洩の問題はあるけれど、
    グレハンとなると第一の用途はネットからのバス予約じゃね?

    とすると、予約したあと普通はバス停かバスデーポまで行って、実際にチケットを受け取って
    バスに乗るわけだから、滅多なことではオレオレ詐欺のようなタイプの不正利用は起きないような。

    • by Anonymous Coward

      まあ実際パスワード変更するユーザーって殆どいないだろうから、何事も起こらなければリスクは軽微かも…いやそんなん当たり前じゃん。
      アカウントの削除ができれば、イマイチなパスワードでもやり直しができるな。最悪電話で手動対応ぐらいはやってくれるはず。
      ああポイントなくなるのか、それはいいや。

      # 平文保存よりもメールに載ったパスワードが変えられないという状況がキモい

    • by Anonymous Coward

      攻撃者が得をするような攻撃としては、

      • 予約取れない時に他人の予約をキャンセルして、自分の予約を取る

      とかはできそう。

  • by Anonymous Coward on 2017年05月07日 14時17分 (#3206274)

    > Webサイトでチケットを購入する際に顧客の決済情報が盗まれたことはない
    きっともう抜かれてる

  • あ…ありのまま 今 感じたことを話すぜ!

  • by Anonymous Coward on 2017年05月07日 16時31分 (#3206324)

    近い将来に量子コンピュータとかディープラーニングとか地球外生命体からのテクノロジーで
    爆発的にコンピューターの演算能力が上がるとか
    遠い将来にインテルの技師や選手が地道に頑張って少しずつ性能アップしたとかで
    今使ってる暗号化が全てたちどころに破られる日が来るでしょ

    ネットに個人情報を入れてはいけないよ
    カード番号とか以ての外

    • 明日NGになる(かも)のと、今日明かにOUTでNGな実装を一緒くたにしてどうすんの...

      # 「ネットに入れる」も、言わんとすることはわかるけど変

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward

      インテルの選手ってとこにツッコめばいいんだろ?
      ちょっと捻りすぎじゃね?

    • by Anonymous Coward

      暗号ってのは基本的に時間かければ解ける。
      将来的には、現在の暗号アルゴリズムはあっという間に解けるだろう。
      だから、その時にまた復号に時間のかかるアルゴリズムを作るだけだよ。

      正しい方法ではないだろうが、現状でも演算能力の向上にあわせてハッシュのストレッチング回数を増やすなりすれば、
      暗号・復号の時間は稼げる。ようは復号にどれだけ時間かけさせるかゲームだから。

  • アメリカの長距離バスというと、貧乏人が乗るというイメージがあるなあ.

    ちょっとした距離があるなら、普通に収入がある人は飛行機乗っちゃうんじゃないか.
    # ホントかよ

    • by Anonymous Coward

      1980 年代に米国に住んでいた時はそんな感じでした。 鉄道が間に入ります。
      途中であちこち寄るような場合にはレンタカーでしたね。

      1990 年ごろにユースホステルで得た話だと日本人がよくバスの中で置き引きに遭ったと聞きました。パスポートとか財布とか。そういうのが入ったカバンをバスの中に残して、休憩時に降りてしまうらしいとか。

      飛行機>鉄道>バスって感じ。

  • by Anonymous Coward on 2017年05月07日 19時32分 (#3206410)

    2017年に入ってなおパスワードを平文保存してボタン一つでそれがメールで送られてくるクソシステムを作らされた(抵抗はしました……)とこだから、日本中のIT技術者にマルバツ問題でパスワードの保存方法クイズして平文保存を選んだ奴はこの業界で二度と仕事できないようにして欲しい

    • by Anonymous Coward

      こう考えるんだ。

      そんな奴がいるからあなたが食べていけるんだって。

  • by Anonymous Coward on 2017年05月07日 21時25分 (#3206457)

    サービス側が勝手にランダムパスワードをつけて変更できないようにすること。
    ユーザビリティはクソだけど、セキュリティは最強だ。

    まぁ、そのパスワードをユーザーがどう管理するかだけど。あとユーザーが逃げていくことか。

    • by Anonymous Coward

      サービス側がランダムパスワードを付けてもそれをユーザに伝えるプロセスが存在する部分があると逆に危険だし
      ぶっちゃけた話「ログインできなくすれば安全」ってとこに行き着くぞそれ

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...