Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

NTTPCコミュニケーションズが提供する一部サービスの契約内容変更用ウェブサイトにおいて、一時パスワードの正誤に関係なくログインできる状態だったことがわかった。

20180605_nt_001.jpg
契約内容変更ページで不具合が発生した「WebARENA」

同社によれば、「WebARENA共用ホスティングサービス」と「プライベートブランドダイヤルアップIP接続サービス」の契約内容を変更するために用意されたウェブサイトで不具合が発生したもの。正しいパスワードはもちろん、誤ったパスワードを入力した場合もログインできる状態だったという。

同社によると、5月29日に顧客から指摘があり、問題へ気が付いたという。「WebARENA共用ホスティングサービス」では、5月12日18時から29日13時にかけて不具合が発生。

同サービスの「契約内容変更サービス」に登録されている契約者氏名、住所、連絡先などが閲覧可能だった。同サービスでは約6万件のIDが発行されているが、71件のIDにおいて情報が流出した可能性がある。

(Security NEXT - 2018/06/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

メールアカウントがフィッシングメール送信の踏み台に - 京都教育大
宮城県図書館サイトにDDoS攻撃 - 特定国より認証ページに大量アクセス
「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定
産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動
複数IPよりニコニコにPWリスト攻撃 - 5月に続き注意喚起
ニコニコ狙う不正ログイン攻撃、数百万回規模の試行 - 分散したIPアドレスより攻撃
フィッシング攻撃でアカウント乗っ取り、メールが不正転送 - 弘前大
マニュアル作成サービスに不正アクセス、一部データが流出 - 原因は調査中
パスワードリスト攻撃の事前スクリーニング、大胆なその手口
リスト用いたなりすましの会員登録申請が発生 - フフルル