「はてなブックマークモバイル版」でセッション流出の不具合 - 一部改ざん被害も
ソーシャルブックマークサービス「はてなブックマークモバイル版」において、ユーザーのセッション情報が漏洩する不具合が見つかった。一部で改ざん被害が発生している。
「はてなブックマーク モバイル版」の一部ページにおいて、NTTドコモ端末向けのセッションデータを誤ってサーバ上へキャッシュする不具合が発生したもの。
同サービスを運営するはてなによれば、キャッシュされたセッションデータが関係ない別のユーザーへ付与された場合、キャッシュ元のユーザーとしてログインした状態になるという。
さらにログイン後の操作も可能で、「ポケットはてな」から利用が可能なサービスの閲覧、編集、投稿、削除、および登録携帯メールアドレスの閲覧と変更といった操作ができる状態となる。
影響を受けるユーザーは、2009年5月28日から9月28日の間に、NTTドコモ端末から「はてなブックマーク モバイル版」にアクセスし、ログインした状態でエントリーページを閲覧したユーザー。
10月2日時点では、コメントの改ざんに関する報告は2件。メールアドレスの不正な変更について同社では、ログの調査から発生していないことを確認したと説明している。
くわえて、氏名やパスワード、クレジットカード情報などの漏洩や改ざん、なりすましによる有料サービスの申し込みや退会、サブアカウントの作成、ウイルス感染による二次被害などの可能性について否定した。
同社では、今回の脆弱性を利用してデータの改ざんを行ったユーザーについて、不正アクセス禁止法違反などにあたるとして、警察や情報処理推進機構(IPA)に届け出を行っているという。
また今回の脆弱性についてはすでに修正を実施しているが、抜本的な対策としてドコモ端末の認証のセキュリティを強化し、認証キーが漏洩した場合でも不正アクセスができない仕様を実装する方針。
(Security NEXT - 2009/10/05 )
ツイート
関連リンク
PR
関連記事
メール誤送信でイベント参加予定者のメアド流出 - 犬山市
ドローン情報基盤システムで情報漏洩の不具合 - 修正するも再発
「J SPORTS」サイトの不具合、クレカ情報変更を別顧客に反映
顧客情報を誤表示、キャッシュ設定ミスで - グリーンスタンプ
「J SPORTS」で不具合 - 本人以外の個人情報閲覧や操作が可能に
「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生
ポイントサイト「ハピタス」携帯版に不具合 - 他人の登録情報が閲覧可能に
不正アクセスでTwitterのユーザー情報約25万人分が外部漏洩の可能性
他顧客のアカウントでログインしてしまう不具合が発生 - 音楽配信サイト
メルマガ記載のURLにセッション情報、個人情報が流出 - モバイル通販サイト