楽天メールマガジン情報漏洩の話・さらに続き
2008年10月1日(水曜日)
楽天メールマガジン情報漏洩の話・さらに続き
楽天メールマガジンの件ですが、スラッシュドットにタレこまれたそうで……「個人情報を含む楽天メルマガの設定変更画面、Google経由で第三者にさらされる (slashdot.jp)」(優さん情報ありがとうございます)。
なかなか興味深いお話が出ています。
3年前に取得したメルマガ設定のリンクが今でも使えます。
以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429623 より
多くの場合、セッション情報や認証情報を含むようなURLは一時的なものになっていて、一定時間経つとで使えなくなったりします。が、楽天のこれはそういう感じではなくて、無期限に使えるものだったようです。
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429556 より
URLの生成自体がランダムではない可能性があると。これはまた微妙な話ですね……。
※それから、前回のタイトルについて「そんなにしょっちゅうやらかしてたのかと思ってしまった (slashdot.jp)」というご意見をいただきましたので、タイトルを変更しました。
- 「楽天メールマガジン情報漏洩の話・さらに続き」へのコメント (2件)
- 前(古い): 今日のQMA (第三弾)
- 次(新しい): s/(松下|ナショナル)/パナソニック/g
