一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

NTTPCコミュニケーションズが提供する一部サービスの契約内容変更用ウェブサイトにおいて、一時パスワードの正誤に関係なくログインできる状態だったことがわかった。

契約内容変更ページで不具合が発生した「WebARENA」

同社によれば、「WebARENA共用ホスティングサービス」と「プライベートブランドダイヤルアップIP接続サービス」の契約内容を変更するために用意されたウェブサイトで不具合が発生したもの。正しいパスワードはもちろん、誤ったパスワードを入力した場合もログインできる状態だったという。

同社によると、5月29日に顧客から指摘があり、問題へ気が付いたという。「WebARENA共用ホスティングサービス」では、5月12日18時から29日13時にかけて不具合が発生。

同サービスの「契約内容変更サービス」に登録されている契約者氏名、住所、連絡先などが閲覧可能だった。同サービスでは約6万件のIDが発行されているが、71件のIDにおいて情報が流出した可能性がある。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

ランサム攻撃、リモートアクセス機器経由で侵入 - サンリオ関連会社
個人情報流出の可能性、委託先のゼロデイ攻撃被害が影響 - 法政大
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
約1年前にランサム被害、VPNで海外拠点から国内にも - ユニデンHD
ウェブメールに対する攻撃試行を観測 - 成功は確認されず
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ
「毎日新聞デジタル」にPW攻撃 - 個人情報の閲覧痕跡なし
ポケモングッズ通販サイトにPWリスト攻撃 - 一部で会員情報改ざんも
外部審査員がサポート詐欺被害、PC内に審査情報 - JARI-RB
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破