一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

一部利用者から「身に覚えのないログイン」の報告 - Qoo10
約700件のアカウントで不正ログイン被害、ポイント不正利用も - PinT
中国支援の攻撃グループ、世界規模で通信など重要インフラを攻撃
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大
ランサム攻撃、リモートアクセス機器経由で侵入 - サンリオ関連会社
個人情報流出の可能性、委託先のゼロデイ攻撃被害が影響 - 法政大
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
約1年前にランサム被害、VPNで海外拠点から国内にも - ユニデンHD
ウェブメールに対する攻撃試行を観測 - 成功は確認されず
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ