人気のオンライン化粧品サイト「ストロベリーネット」は、電子メールアドレスだけで誰でも顧客の名前、請求先住所、電話番号を取得できる機能がバグなのか仕様なのかを顧客に尋ねた。
このバグはほぼ10年前に初めて明らかになり、先週木曜日にセキュリティ担当者のトロイ・ハント氏が同社にこの欠陥を報告したことで再び表面化した。
この機能により、顧客はテキスト入力ボックスにメールアドレスを入力するだけで、すぐにチェックアウトできます。入力されたメールアドレスが既にStrawberrynetの記録に登録されている場合、個人情報は平文で返されます。
ハント氏によると、同社はこの暴露に対して、この欠陥を非公開で報告した匿名の研究者に対し、電子メールアドレスは十分に安全であり、パスワードは不要であると伝えたという。
メールでは同社の立場を次のように説明している。
弊社が実施したアンケートでは、パスワード不要のシステムを多くのお客様にご満足いただいているという結果が出ました。パスワードとしてメールアドレスをご利用いただくことで十分なセキュリティを確保しており、また、お客様のお支払い情報をウェブサイトやコンピューターに保存することは一切ございません。
ハント氏はこの欠陥を「計り知れないほど無謀」と呼び、最も明白な攻撃シナリオとして、電子メール入力欄がブルートフォース攻撃の対象となり、公開されている漏洩データベースにある膨大な数の電子メールアドレスが書き込まれる可能性を指摘している。
このような攻撃は、それらの記録に反する個人情報を返すことになります。
一致するメールアドレスを入力すると、無料のdox を入手できます。
同社はSSLの使用とクレジットカード業界のデータセキュリティ標準への準拠を挙げたが、どちらもブルートフォース攻撃を阻止するのには全く役立たない。
「これはまったく理解できないほど無謀で愚かであり、顧客のプライバシーを完全に無視している」とハント氏は言う。
「仮に誰かが大量の電子メールアドレスのリストを入力し、少なくとも数万人の顧客の個人データを抜き取ることは可能だ。
「名前、住所、電話番号はすべて、電子メールアドレスだけで取得できます。」
@Strawberrynet は違うはずです。英国に拠点を置いているなら、データ保護法に基づいて ICO から大腸内視鏡検査を受けるはずです。
— リチャード・プライス(@RichardPrice)2016年8月19日
同社はツイッターで、顧客にセキュリティと利便性のどちらを優先するかを尋ねた。
データ漏洩に関するご懸念を承知しております。この件に対処するため、info@strawberrynet.comまでメールでご連絡いただき、アドレスの非公開をリクエストしていただければ幸いです。
この質問に対して、テクノロジー業界からは、優れたセキュリティ慣行を無視しているとして同社を非難する期待に満ちたツイートが寄せられた。®
