一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

NTTPCコミュニケーションズが提供する一部サービスの契約内容変更用ウェブサイトにおいて、一時パスワードの正誤に関係なくログインできる状態だったことがわかった。

契約内容変更ページで不具合が発生した「WebARENA」

同社によれば、「WebARENA共用ホスティングサービス」と「プライベートブランドダイヤルアップIP接続サービス」の契約内容を変更するために用意されたウェブサイトで不具合が発生したもの。正しいパスワードはもちろん、誤ったパスワードを入力した場合もログインできる状態だったという。

同社によると、5月29日に顧客から指摘があり、問題へ気が付いたという。「WebARENA共用ホスティングサービス」では、5月12日18時から29日13時にかけて不具合が発生。

同サービスの「契約内容変更サービス」に登録されている契約者氏名、住所、連絡先などが閲覧可能だった。同サービスでは約6万件のIDが発行されているが、71件のIDにおいて情報が流出した可能性がある。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

IIJ、メールサービス侵害の調査結果を公表 - 全契約の約9％に影響
既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
IIJメールサービス設備内に不正プログラム - 最大6493契約で情報漏洩のおそれ
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
九女大と九女短大のシステムに不正アクセス - 個人情報が流出か
VPN経由でランサム被害 - 産業機械開発設計会社
委託先がマルウェア感染、コード管理サービスから情報流出 - アイリッジ
フィッシング被害者のアカウントがさらなる攻撃の踏み台に - 東京外大
「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
VPN経由でランサム被害、闇サイト上に取引情報 - 日本海建設電気