一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

複数Chatworkアカウントが侵害、不正な請求書送信も - 鉄道設備機器メーカー
SMTPサーバで設定不備、約17万件のスパム送信 - 奈良女大
メルアカが不正アクセス被害、フィッシングメール送信される - JEMS
旧メールシステムのアカウントに不正アクセス - ゼットン
ランサム被害の調査を継続、受注や発送は再開 - メディカ出版
海外拠点従業員のメールアカウントに不正アクセス - サクラ工業
AWSアカウントに不正アクセス、スパム送信の踏み台に - つくるAI
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
医療機器保守用VPN経由でランサム攻撃、DB窃取 - 日医大武蔵小杉病院