OCNで他利用者のメールパスワードを変更できる不具合、メール受信も可能に

NTTコミュニケーションズの顧客向けサイト「OCNマイページ」において、利用者本人とは関係ない他利用者により、メールアカウントのパスワードが変更できる不具合が生じていたことがわかった。

2011年10月17日から2012年2月3日にかけて、顧客向けサイト「OCNマイページ」の「メールパスワードの変更ページ」に不具合があったもの。

「OCNマイページ」では、メールアカウントのパスワードを変更する際、利用者がメールアドレスと仮パスワードを申請、届いたメールのURLから仮パスワードを利用して再度ログインするしくみを採用している。

同社によれば、問題のシステムでは、仮パスワードと発行に用いたメールアドレスが関連付けされておらず、仮パスワードとほかの顧客が利用するメールアドレスでログインし、パスワードを変更することが可能だったという。

パスワードが別の顧客により変更されたケースは236件。パスワードを変更された場合、本来の利用者がメールを受信できなくなるほか、変更側がメールアドレスとパスワードを用いて他ユーザー宛のメールを受信できる状態だった。

今回の不具合で、117件については顧客が再設定を行い、ほかのケースについては同社が変更して対応した。同社では関連する顧客に対して事情を説明して、謝罪。不具合があったシステムについても修正を行っている。

（Security NEXT - 2012/02/13 ）ツイート