ライブドアクレジット「もえろーん」にセキュリティーホールの疑い(22:16更新)
2005年10月10日 20:35
【大佐blog in ニュー速】によれば、現在ライブドアにて運営されているオンラインパーソナルローン商品【もえろーん】において、他人のライブドアIDでアクセス出来る「かもしれない」(22時16分追記)というセキュリティーホールが存在する可能性が指摘された。
スポンサードリンク
詳細は内容が内容なので当記事では説明しないが、上記ブログ(大本の記事は【2ちゃんねるのスレッド】)によれば、構成スクリプト上の単純なミス、あるいはセッション情報の管理上の不手際により、不特定多数のIDでログインができてしまう「かもしれない」(22時16分追記)というもの。
今件についてライブドアクレジット窓口に電話取材を行ったところ(10月10日21時、受付I嬢対応)、
・現在のところ24時間対応の受付窓口ではそのような状況について把握していないし事実確認も出来ていない
・技術関係部門との連絡は営業時間である明日11日朝以降でないと取れないので「技術関係部門にすでにその情報が流れている」か否か、及び「対処の有無」については(取材をした受付窓口サイドでは)把握できない
・確認が取れ次第しかるべき対処を行う
とのことである。
指摘されている手法を実際に試してしまうと不正アクセス防止法に抵触してしまう可能性があるので当方では確認をしていないが、上記サイトの情報や掲示板の書き込みなどを見る限り、指摘されている「セキュリティーホール」は実在しそうな雰囲気である。
関係各所の一刻も早い対処と情報公開を望みたいところだ。
(22:16更新)
22時16分現在、【もえろーん】がメンテナンス作業に入ったことが確認された。上記要件を受け、対処に入ったものと思われる。
また、【異常感想注意報】の管理人による体験談によれば「他人へのなりすましは出来ない模様」である。同時に「とはいえURLを入力しただけで他人のIDが見えるのは如何なものか」と苦言を呈している。
スポンサードリンク
ツイート