Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OCNで他利用者のメールパスワードを変更できる不具合、メール受信も可能に

NTTコミュニケーションズの顧客向けサイト「OCNマイページ」において、利用者本人とは関係ない他利用者により、メールアカウントのパスワードが変更できる不具合が生じていたことがわかった。

2011年10月17日から2012年2月3日にかけて、顧客向けサイト「OCNマイページ」の「メールパスワードの変更ページ」に不具合があったもの。

「OCNマイページ」では、メールアカウントのパスワードを変更する際、利用者がメールアドレスと仮パスワードを申請、届いたメールのURLから仮パスワードを利用して再度ログインするしくみを採用している。

同社によれば、問題のシステムでは、仮パスワードと発行に用いたメールアドレスが関連付けされておらず、仮パスワードとほかの顧客が利用するメールアドレスでログインし、パスワードを変更することが可能だったという。

パスワードが別の顧客により変更されたケースは236件。パスワードを変更された場合、本来の利用者がメールを受信できなくなるほか、変更側がメールアドレスとパスワードを用いて他ユーザー宛のメールを受信できる状態だった。

今回の不具合で、117件については顧客が再設定を行い、ほかのケースについては同社が変更して対応した。同社では関連する顧客に対して事情を説明して、謝罪。不具合があったシステムについても修正を行っている。

(Security NEXT - 2012/02/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

取引先への案内メール約3000件を誤送信 - アットホーム
月例パッチ起因の「Outlook」不具合、緊急修正プログラム適用でクラッシュのおそれ
信用情報機関へ誤情報を登録、システム不具合で - ヤマトクレジット
メルマガでユーザーのメアド流出、システム不具合で - ネクソン
フォトブック作成サービス「ノハナ」で不具合 - 一部登録者の個人情報が閲覧可能に
Webrootで誤検知が発生、13分後に修正 - 影響範囲など調査中
福岡県で退職職員のマイナンバーを誤送付 - プログラムの不具合か
雑貨通販サイトでシステム不具合 - 顧客情報の誤表示など発生
システムエラーで個人情報がメール差出人情報に - FUJI-Wifi
通販サイトで顧客情報をキャッシュ、誤表示する不具合 - フェリシモ