Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

(Security NEXT - 2018/06/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「BIG-IP」脆弱性に注意 - 実証コード公開済み、探索や悪用も
ブラザー会員サイトで不正ログイン、P交換被害も - 3月末からアクセス急増
栃木の名産品通販サイトに不正アクセス - クレカ情報流出の可能性
サポート担当の業務委託先が侵害被害 - Okta
政府、サイバー攻撃に再度注意を喚起 - SC全体のリスクコントロールを
メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で
個人情報流出の可能性示す痕跡を発見、最大対象件数を算出 - リニカル
「エヴァンゲリオン」公式通販サイト、クレカやPWなど流出のおそれ
Twitterが乗っ取り被害、DM履歴に顧客情報 - ホビー製作販売会社
コンタクト専門店のTwitterアカウントが乗っ取り被害