一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

医療機器保守用VPN経由でランサム攻撃、DB窃取 - 日医大武蔵小杉病院
国立医薬品食品衛生研究所でフィッシング被害 - さらなる攻撃の踏み台に
M365アカウントに不正アクセス、メール大量送信 - 樟蔭女子大
ネットストアの第三者による不正ログインに注意喚起 - 資生堂
顧客にフィッシングメール、予約システム侵害か - HOTEL CYCLE
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
システムにサイバー攻撃、患者情報など流出のおそれ - 徳島大病院
社内侵入の痕跡確認されず、クラウドサービスは個別対応 - BBT
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県