Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ポイントサイト「ハピタス」携帯版に不具合 - 他人の登録情報が閲覧可能に

ポイントサイト「ハピタス」のフィーチャーフォン向けサイトで、関係ない別の会員情報が閲覧可能となる不具合が発生した。

同サイトを運営するオズビジョンによれば、会員宛てに送った携帯メールに記載したURLに問題があり、別の会員アカウントでログインし、登録情報が閲覧できる状態が発生したという。

不具合は、3月20日11時から同日17時半ごろにかけて発生し、最大69人の利用者が、他人から情報を閲覧される可能性があった。他人の情報を閲覧可能だった利用者は最大5954人にのぼる。

同社では、URLに含まれるセッション情報の仕様に問題があり、さらにセッション情報を含むURLをメールに記載したことが原因と説明している。

同社では、不具合を解消したが、安全確認のためサイトを一時停止。情報が閲覧可能となった69人に謝罪を行っている。また、日本情報経済社会推進協会(JIPDEC)に対して事故を報告、同社役員報酬の減額など処分を決定している。

(Security NEXT - 2013/03/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

仲介事業者情報へ外部からアクセス - 飯田産業
入試出願登録情報が外部から閲覧可能な状態に - 学習院大
県委託の結婚相談所でシステム障害、氏名を誤表示 - 宮崎県
再生医療の申請書作成支援サイトに不具合 - 作成内容が閲覧可能に
ふるさと旅行券応募者のメアドが漏洩、アクセス集中で不具合 - 栃木県
システム不具合で顧客情報が閲覧可能に - サタケ
ニコンの画像共有サイトで障害 - 管理番号重複で他利用者の情報が閲覧可能に
ネット接続するオフィス機器では適切なアクセス制限を - 複合機問題でIPAが注意喚起
求人サイト「ジョブセンス」でシステム障害 - 企業担当者や求職者の情報流出
JR東日本の会員向けサイトで不具合 - 他人の個人情報が閲覧可能に