パスワードを忘れた? アカウント作成
15835646 story
情報漏洩

管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 20

ストーリー by nagazou
アクセスしただけでモロみえ仕様ですか 部門より
マニュライフ生命保険は、一部契約者へ「マイページわくわくログインキャンペーン」のアンケートを回答するためのURLをメールで案内しようとしたところ、誤って管理者用サイトのURLを送信してしまったという。誤送信されたURLを開くと、アンケート回答者のメールアドレス2万1622件と回答結果を閲覧できる状態だったとしている。氏名やクレジットカード情報、契約情報などは含まれていないという。この管理者用サイトに対して複数のアクセスが判明しており、最大571件のメールアドレスを閲覧された可能性があるとしている(マニュライフ生命保険リリースSecurity NEXT)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年10月28日 14時57分 (#4351511)

    非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。

    • by Anonymous Coward

      一見そうかもだが、お使いのウェブブラウザがアクセスしたURLをどっかに送ってる可能性もあるわけで。
      実際こうやって誤ってURLをどっかに送ってしまったときに、パスワードが設定されてれば情報そのものを見られることはなかったわけで、
      全然「同じ」じゃないわけですが。

      • by Anonymous Coward

        PWだってキーロガーが収集してる可能性があるし、間違ってどっかに送ってしまったりするし、
        PW方式だと逆に認証URLや管理者IDはサービスによって固定で既知だったりで、PW漏洩しただけでアクセスされてしまうことあるし、
        一見全然別のように見えるけど本質は同じだよ。

        • by Anonymous Coward

          URLの場合は、誰も間違ってなくても、収集する意図がなくても、Refererから漏れ出るものだよ。

        • by Anonymous Coward

          パスワードとURLとパスワードを全部一回でご送信するアホは早々おらんだろう

      • by Anonymous Coward

        Proxy サーバのアクセスログ見てると、ウイルス対策ソフトがよく URL をウイルス対策会社のサーバに投げてますね。

      • by Anonymous Coward

        一見?どう観てもバカは休み休み言えだろ

    • by Anonymous Coward

      総当たり攻撃の容易さが違う。

      • by Anonymous Coward

        そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。

        • by Anonymous Coward

          >試行の繰り返しを検出してブロックしてもいいし

          普通のユーザアクセスとどうやって区別すんの?
          1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
          「1分以内に100回アクセスがあったら」とかいう条件にするの?
          なら1IPアドレスで100回までは簡単に試せるね。

          パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。

          • by Anonymous Coward

            何桁のURLを試行するつもりなのか知らんがまぁがんばれ。

            • by Anonymous Coward

              普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。

          • by Anonymous Coward

            そこはパスワードでの認証でも同じじゃない?

            仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。

            • by Anonymous Coward

              DOS攻撃し放題ですね

              • by Anonymous Coward

                仮定の話なんだから、いろいろ雑なのは許してくださいよ。

    • by Anonymous Coward

      一番の違いはパスワードならpasswo@dみたいな下らないのであっても不正アクセス禁止法違反に問えるのに対し
      非公開URLは悪用されても何の罪にもならないってところ

    • by Anonymous Coward

      普通パスワードとURLセットで流出させないだろう

  • by Anonymous Coward on 2022年10月28日 15時18分 (#4351535)

    ようつべで見た!!!!

  • by Anonymous Coward on 2022年10月29日 10時56分 (#4351957)

    アプリで列車の現在位置が分かるのが定番ですが、一部マニアの間では社員用の(列車の番号や試運転などが詳しく分かる)非公開のURLが流通してて、PWやログインIDも全部割れてるみたいです。

    分かった所で(お召列車の場所でも漏れない限り)大した問題にはならないのですが。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...