一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

従業員アカウントが不正利用、フィッシング踏み台に - 常石G
佐川急便の会員サービスで不正ログイン - アクセスを一時制限
健康靴の通販サイト、個人情報流出の可能性
予約管理システムから個人情報が流出した可能性 - 呉竹荘
ポケモングッズ通販に不正ログイン - 会員情報の改ざんも
SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩
一部利用者から「身に覚えのないログイン」の報告 - Qoo10
約700件のアカウントで不正ログイン被害、ポイント不正利用も - PinT
中国支援の攻撃グループ、世界規模で通信など重要インフラを攻撃
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大