解凍したスターター10個:アイスランドの宅配サイトが顧客情報を流出

Table of Contents

解凍したスターター10個:アイスランドの宅配サイトが顧客情報を流出

アイスランドの宅配サービスは、今週問題が解決されるまで、数か月にわたって顧客の機密情報を漏洩していたことを英国のセキュリティ研究者が発見した。

ポール・ムーア氏は、問題を最初に報告してから12ヶ月経っても小売業者に対策を講じてもらえなかったため、調査結果を公表した。ムーア氏によると、公表によってアイスランドは最終的に、民間からのリマインダーが機能していなかったにもかかわらず、対策を講じることになったという。水曜日にムーア氏が公表した直後に、欠陥は修正された。

問題は、自宅への配達確認書と、アイスランドが運営する関連ウェブサイトに関係していました。顧客がアイスランドに配達を注文すると、配達員がこの用紙を手渡しました…そして、顧客は配達を受け取るために署名しなければなりませんでした。

情報過多:アイスランドの宅配便シート [出典:ポール・ムーア氏による編集済み画像]

ムーア氏は驚いたことに、このシートにはその配達ルート上の他のすべての顧客の名前、住所、電話番号が記載されていた。

これだけでも十分悪いのですが、シートの右上には IP アドレス (http://54.75.255.8) もあり、安全でないサイトにつながっていました。

「これはアイスランドの予約システムのログインポータルです。ユーザー名とパスワードが必要です。しかし、「?」をクリックすると、パスワードは(お店で渡されるシートに記載されている)4桁の店舗番号だと分かります」とムーア氏は言いました。

アイスランドの宅配サイト [出典: ポール・ムーア]

この時点でサイト上の機密データにアクセスするために必要なのはユーザー名だけだったが、これも推測可能だとムーア氏は説明した。

ソースコードをざっと見てみると、現在は廃止された「秘密の質問」機能があることがわかります。また、「store_number : $('#id_username').val()」という行も存在し、ユーザー名も店舗番号にすべきだと示唆しています。驚くべきことに、ユーザー名とパスワードの両方に「0287」を入力すると、すぐにログインでき、あらゆる情報にアクセスできるようになります。

汚い。

幸いなことに、セキュリティの脆弱性は公表されてから数時間後に修正されました。

アイスランドはムーア氏に対し、外部ユーザーがサイトにアクセスできないように修正を適用したと説明した(現在はIPアドレスが制限されている)。冷凍食品を専門とするこの英国のスーパーマーケットは、店舗全体でePOSシステムの運用方法を変更する作業も進めており、配送伝票は不要になるという。

アイスランドは、エル・レグからの問い合わせに対し、現在は問題が解決されたことを認め、問題を指摘してくれたムーア氏に感謝する声明を出した。

影響を受けたデータ量と店舗数は限定的であると確信しており、昨日(水曜日)の朝に問題を認識してすぐに必要な変更を実施しました。

弊社はお客様のプライバシーを非常に重要視しており、今後もプライバシーが適切に保護されるよう最大限の努力を続けてまいります。

ムーア氏は、自身が株式公開した後、アイスランドが迅速に対応したことを高く評価する一方で、複数のチャネルを通じて繰り返し注意を促したにもかかわらず、アイスランドが非公開の問題報告に対応しなかったことを非難した。ICOのデータプライバシー監視機関に問題を報告したにもかかわらず、事態は進展しなかった。®

Discover More