一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

NTTPCコミュニケーションズが提供する一部サービスの契約内容変更用ウェブサイトにおいて、一時パスワードの正誤に関係なくログインできる状態だったことがわかった。

契約内容変更ページで不具合が発生した「WebARENA」

同社によれば、「WebARENA共用ホスティングサービス」と「プライベートブランドダイヤルアップIP接続サービス」の契約内容を変更するために用意されたウェブサイトで不具合が発生したもの。正しいパスワードはもちろん、誤ったパスワードを入力した場合もログインできる状態だったという。

同社によると、5月29日に顧客から指摘があり、問題へ気が付いたという。「WebARENA共用ホスティングサービス」では、5月12日18時から29日13時にかけて不具合が発生。

同サービスの「契約内容変更サービス」に登録されている契約者氏名、住所、連絡先などが閲覧可能だった。同サービスでは約6万件のIDが発行されているが、71件のIDにおいて情報が流出した可能性がある。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

M365アカウントに不正アクセス、メール大量送信 - 樟蔭女子大
ネットストアの第三者による不正ログインに注意喚起 - 資生堂
顧客にフィッシングメール、予約システム侵害か - HOTEL CYCLE
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
システムにサイバー攻撃、患者情報など流出のおそれ - 徳島大病院
社内侵入の痕跡確認されず、クラウドサービスは個別対応 - BBT
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
教育支援サービス侵害、ランサムウェアによる個人情報流出の可能性
CMSに総当たり攻撃、個人情報流出の可能性 - 体育器具メーカー