OCNで他利用者のメールパスワードを変更できる不具合、メール受信も可能に

NTTコミュニケーションズの顧客向けサイト「OCNマイページ」において、利用者本人とは関係ない他利用者により、メールアカウントのパスワードが変更できる不具合が生じていたことがわかった。

2011年10月17日から2012年2月3日にかけて、顧客向けサイト「OCNマイページ」の「メールパスワードの変更ページ」に不具合があったもの。

「OCNマイページ」では、メールアカウントのパスワードを変更する際、利用者がメールアドレスと仮パスワードを申請、届いたメールのURLから仮パスワードを利用して再度ログインするしくみを採用している。

同社によれば、問題のシステムでは、仮パスワードと発行に用いたメールアドレスが関連付けされておらず、仮パスワードとほかの顧客が利用するメールアドレスでログインし、パスワードを変更することが可能だったという。

パスワードが別の顧客により変更されたケースは236件。パスワードを変更された場合、本来の利用者がメールを受信できなくなるほか、変更側がメールアドレスとパスワードを用いて他ユーザー宛のメールを受信できる状態だった。

今回の不具合で、117件については顧客が再設定を行い、ほかのケースについては同社が変更して対応した。同社では関連する顧客に対して事情を説明して、謝罪。不具合があったシステムについても修正を行っている。

（Security NEXT - 2012/02/13 ） ツイート

PR

関連記事

番組モニター資料に別人向けデータ、システム不具合で - NHK
オンライン申込の確認画面に個人情報が誤表示 - 日本通信
ポケモングッズ通販サイトのリニューアルで不具合 - 情報流出が発生
システム不具合で個人情報が閲覧可能に - 河合楽器
閲覧制限が自動解除される不具合 - dodaスカウトサービス
LINEのアルバム機能で不具合 - 他人の画像を表示
名古屋市営バスの料金箱で障害、料金徴収できず - アップデートが影響か
安曇野市の乗合タクシーで他人予約情報が閲覧可能に - プログラム不具合で
「VMware vCenter Server」の深刻な脆弱性を修正するパッチに不具合
Yahoo!オークションで不具合 - 一部低評価利用者の社内識別子を誤表示