英国のテレビライセンス機関は、25,000人の視聴者が安全でない接続を通じて銀行口座の詳細を送信するよう誘導されたことを認めた。
HTTPS暗号の恥:テレビライセンスウェブサイトがオフラインに
続きを読む
この組織は、今月初めにその慣行について指摘を受けるまで、安全でない接続を介して銀行引き落としの取引ページを運営していた。
技術者のマーク・クック氏らによる批判や、 The Register紙などによる報道機関の批判に応えて、この公的資金で運営される機関は、すべてをHTTPSに移行し、ウェブサイトを一時的にオフラインにした。
TV Licensingは既にHTTPS対応のウェブサイトを運営していましたが、それと並行してHTTPサイトも運営しており、個人情報の機密情報を入力するフォームをホストしていました。FAQによると、この問題は2018年8月29日から9月5日午後3時20分頃まで発生していました。HTTPSが普及している現代において、情報提供のためだけに安全でないバージョンのサイトを運営するのは賢明ではないはずですが、TV Licensingはそれをはるかに超える行動に出ました。
当局は安全でないサイトを検索エンジンのランキングの上位に表示するよう圧力をかけ、 The Registerが以前に報じたように、機密性の高い銀行の口座引き落とし支払い申請フォームに記入する場合でも、ユーザーをHTTPSにリダイレクトする試みは行われなかった。
プライバシー、パフォーマンス、検索最適化などどうでもいい。設定は間違っており、TVライセンス局は当初、情報セキュリティ関係者からの苦情を無視したことで、誤りをさらに悪化させた。
同社のオンライン サポート スタッフは、ある時点では、HTTP ページが原因で Chrome が表示する警告は無視するようにとユーザーに伝えていました (以下を参照)。
当社のウェブサイトは安全で、セキュリティ証明書は最新です。お客様がデータを入力するページはHTTPSで接続されています。一部のブラウザ(Chromeなど)ではHTTPSではないと表示されますが、非HTTPSページも安全にご利用いただけます。
— TVライセンス (@tvlicensing) 2018年9月5日
カード決済は外部プロバイダーによって管理され、常に HTTPS 経由で行われました。
TVライセンス局は最終的に自らの誤りを認めた。月曜日には、このミス後の声明を発表し、2万5000人の顧客が銀行口座情報の入力に安全でないルートを経由させられていたことを認めた。これは当初の推定4万人より少ない数だった。
英国の国家サイバーセキュリティセンターは、ウェブサイトが「プライベートコンテンツ、サインインページ、クレジットカード情報が含まれていない場合でも」HTTPSを使用するよう推奨している。
暗号化されていないサイトに送信された情報は、ハッカーに偶然見破られる可能性があります。また、暗号化されていないサイトは、なりすましや中間者攻撃といった攻撃の標的になりやすい可能性があります。
TV Licensingは影響を受けた顧客に直接連絡を取り始めました。サポートサービスでは、フィッシングメールに注意するよう呼びかけています。®
