Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OCNで他利用者のメールパスワードを変更できる不具合、メール受信も可能に

NTTコミュニケーションズの顧客向けサイト「OCNマイページ」において、利用者本人とは関係ない他利用者により、メールアカウントのパスワードが変更できる不具合が生じていたことがわかった。

2011年10月17日から2012年2月3日にかけて、顧客向けサイト「OCNマイページ」の「メールパスワードの変更ページ」に不具合があったもの。

「OCNマイページ」では、メールアカウントのパスワードを変更する際、利用者がメールアドレスと仮パスワードを申請、届いたメールのURLから仮パスワードを利用して再度ログインするしくみを採用している。

同社によれば、問題のシステムでは、仮パスワードと発行に用いたメールアドレスが関連付けされておらず、仮パスワードとほかの顧客が利用するメールアドレスでログインし、パスワードを変更することが可能だったという。

パスワードが別の顧客により変更されたケースは236件。パスワードを変更された場合、本来の利用者がメールを受信できなくなるほか、変更側がメールアドレスとパスワードを用いて他ユーザー宛のメールを受信できる状態だった。

今回の不具合で、117件については顧客が再設定を行い、ほかのケースについては同社が変更して対応した。同社では関連する顧客に対して事情を説明して、謝罪。不具合があったシステムについても修正を行っている。

(Security NEXT - 2012/02/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「投稿を表示する相手」の選択肢設定に一時不具合 - Facebook
LINEで他ユーザーのタイムラインが表示される不具合 - 外部CDNの設定ミスで
Twitter、ハッシュ化前パスワードをログ保存 - 漏洩痕跡ないが変更検討求める
Vpassチケット、「iOS 11.3」で不具合
ITパスポート試験の申込者情報が漏洩、システム不具合で - IPA
楽天カード、3月7日朝に全面復旧を予定 - 6日も19時半より一時再開
楽天カードでシステム不具合、借入や一部支払に影響
仮想通貨取引所「Zaif」がBTCを0円売買 - 不具合を原因として無効化
カードの請求明細書を異なる会員へ誤送付 - イオン銀
市営駐輪場のウェブ申請に不具合、他人の身分証明書が閲覧可能に - 浦安市