パスワードを忘れた? アカウント作成
Close
15835646 story
情報漏洩

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 20

ストーリー by nagazou
アクセスしただけでモロみえ仕様ですか 部門より
マニュライフ生命保険は、一部契約者へ「マイページわくわくログインキャンペーン」のアンケートを回答するためのURLをメールで案内しようとしたところ、誤って管理者用サイトのURLを送信してしまったという。誤送信されたURLを開くと、アンケート回答者のメールアドレス2万1622件と回答結果を閲覧できる状態だったとしている。氏名やクレジットカード情報、契約情報などは含まれていないという。この管理者用サイトに対して複数のアクセスが判明しており、最大571件のメールアドレスを閲覧された可能性があるとしている(マニュライフ生命保険リリースSecurity NEXT)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 More

  • 非公開URLによるアクセス制御 (スコア:0)

    by Anonymous Coward on 2022年10月28日 14時57分 (#4351511)

    非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。

    • Re: (スコア:0)

      by Anonymous Coward

      一見そうかもだが、お使いのウェブブラウザがアクセスしたURLをどっかに送ってる可能性もあるわけで。
      実際こうやって誤ってURLをどっかに送ってしまったときに、パスワードが設定されてれば情報そのものを見られることはなかったわけで、
      全然「同じ」じゃないわけですが。

      • Re: (スコア:0)

        by Anonymous Coward

        PWだってキーロガーが収集してる可能性があるし、間違ってどっかに送ってしまったりするし、
        PW方式だと逆に認証URLや管理者IDはサービスによって固定で既知だったりで、PW漏洩しただけでアクセスされてしまうことあるし、
        一見全然別のように見えるけど本質は同じだよ。

        • Re: (スコア:0)

          by Anonymous Coward

          URLの場合は、誰も間違ってなくても、収集する意図がなくても、Refererから漏れ出るものだよ。

        • Re: (スコア:0)

          by Anonymous Coward

          パスワードとURLとパスワードを全部一回でご送信するアホは早々おらんだろう

      • Re: (スコア:0)

        by Anonymous Coward

        Proxy サーバのアクセスログ見てると、ウイルス対策ソフトがよく URL をウイルス対策会社のサーバに投げてますね。

      • Re: (スコア:0)

        by Anonymous Coward

        一見?どう観てもバカは休み休み言えだろ

    • Re: (スコア:0)

      by Anonymous Coward

      総当たり攻撃の容易さが違う。

      • Re: (スコア:0)

        by Anonymous Coward

        そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。

        • Re: (スコア:0)

          by Anonymous Coward

          >試行の繰り返しを検出してブロックしてもいいし

          普通のユーザアクセスとどうやって区別すんの?
          1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
          「1分以内に100回アクセスがあったら」とかいう条件にするの?
          なら1IPアドレスで100回までは簡単に試せるね。

          パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。

          • Re: (スコア:0)

            by Anonymous Coward

            何桁のURLを試行するつもりなのか知らんがまぁがんばれ。

            • Re: (スコア:0)

              by Anonymous Coward

              普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。

          • Re: (スコア:0)

            by Anonymous Coward

            そこはパスワードでの認証でも同じじゃない?

            仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。

            • Re: (スコア:0)

              by Anonymous Coward

              DOS攻撃し放題ですね

              • Re: (スコア:0)

                by Anonymous Coward

                仮定の話なんだから、いろいろ雑なのは許してくださいよ。

    • Re: (スコア:0)

      by Anonymous Coward

      一番の違いはパスワードならpasswo@dみたいな下らないのであっても不正アクセス禁止法違反に問えるのに対し
      非公開URLは悪用されても何の罪にもならないってところ

    • Re: (スコア:0)

      by Anonymous Coward

      普通パスワードとURLセットで流出させないだろう

  • 限定公開URL (スコア:0)

    by Anonymous Coward on 2022年10月28日 15時18分 (#4351535)

    ようつべで見た!!!!

  • 鉄道 (スコア:0)

    by Anonymous Coward on 2022年10月29日 10時56分 (#4351957)

    アプリで列車の現在位置が分かるのが定番ですが、一部マニアの間では社員用の(列車の番号や試運転などが詳しく分かる)非公開のURLが流通してて、PWやログインIDも全部割れてるみたいです。

    分かった所で(お召列車の場所でも漏れない限り)大した問題にはならないのですが。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン