Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

NTTPCコミュニケーションズが提供する一部サービスの契約内容変更用ウェブサイトにおいて、一時パスワードの正誤に関係なくログインできる状態だったことがわかった。

20180605_nt_001.jpg
契約内容変更ページで不具合が発生した「WebARENA」

同社によれば、「WebARENA共用ホスティングサービス」と「プライベートブランドダイヤルアップIP接続サービス」の契約内容を変更するために用意されたウェブサイトで不具合が発生したもの。正しいパスワードはもちろん、誤ったパスワードを入力した場合もログインできる状態だったという。

同社によると、5月29日に顧客から指摘があり、問題へ気が付いたという。「WebARENA共用ホスティングサービス」では、5月12日18時から29日13時にかけて不具合が発生。

同サービスの「契約内容変更サービス」に登録されている契約者氏名、住所、連絡先などが閲覧可能だった。同サービスでは約6万件のIDが発行されているが、71件のIDにおいて情報が流出した可能性がある。

(Security NEXT - 2018/06/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

NISC、「ProjectWEB」の不正アクセスで政府機関や重要インフラ事業者に注意喚起
教員の個人アカウントが乗っ取り被害、スマホ同期の個人情報も - 大阪教育大
認証サーバでアクセス制御する「SaaS」も標的 - 多段階攻撃で侵入被害
メルカリが不正アクセス被害 - 開発ツール「Codecov」侵害の影響で
原子力規制委への不正アクセス、VPNの既知脆弱性が起点に
不正アクセス被害のランドブレイン、調査結果を公表 - ランサムウェアは「Cring」
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
改ざんで「偽reCAPTCHA」表示、外部サイトへ誘導 - ゲーム情報サイト
スキー場の滑走記録アプリに不正アクセス - ログや画像が消失
実在部署名乗るメールで教員がフィッシング被害 - 名大