Ikke曰く、"毎日新聞、朝日新聞、読売新聞など、各新聞社が報じているが、エステティックサロンのTBCのWebサイトから個人情報3万人分が流出したとの事。アンケートの結果だそうなので、メールアドレスや電話番号などが含まれているのだろう。しかも、女性が多い事が想像される。週末から2chで話題になっていたが、ようやく報道されるようになった。悪用されない事を祈るばかり。ちなみに、TBCのサイトは、これを書いている時点では繋がらなかった。"
3万件どころか (スコア:3, 興味深い)
また、「8時間ほどダウンロード可能な状態だった」という報道だが
見た感じ「2年間ほどダウンロード可能な状態だったところ、
昨日発覚→大騒ぎになり、騒ぎになってから8時間後に閉鎖完了」
というのが真実くさく…
しかし、このザルっぷりというかなんというか
普通、こういう顧客情報をWebで入力、蓄積する時って
最低でもhttpdの手の届かない所に書かないか?!
それに加えてsetuid+chownでログ記録専用ユーザなどにしたりとか
Webサーバ内にデータ置く時って細心の注意を払うもんだと思ったが。
それと、今回のTBCの件で芋づる式に「あ、ここも」「ここも」と
チェックするのも面倒なくらいぼろぼろと同様のデータ漏洩が
発覚してます。2chの該当スレを片端から見ていると恐ろしいくらい
指摘されてる。ただTBCのインパクトがでかすぎて誰にも相手されて
ないけどね…いやはや。
漏れてたデータ (スコア:3, 興味深い)
住所、氏名、性別、年齢、電話番号(携帯)、メールアドレス
ここまででも(女性のデータがほとんどなので)恐ろしいが
生年月日、スリーサイズ、学歴、職歴、資格、家族構成
などもデータによっては詳細に記録されてます。
しかも発覚閉鎖直前までのデータなので新鮮そのもの。
(データによっては、というのはTBCのWebページで投稿フォーム
形式で入力させていた、コンテスト応募やエントリーシート、
プレゼント応募などありとあらゆるデータが全部丸見えだったため
データの種別によって内容が違うから。「アンケート」なんてものじゃないです)
さらには「TBCのWebページで入力された情報」なので、ターゲッティングも
(コンプレックス産業という意味も含め)完璧です。
あとはご意見投稿フォームのデータを見ると、赤裸々な相談とか
TBCへの苦情とかいったコメントまでもが住所付で見えてます。
正直、見た瞬間背筋が寒くなる質・量のデータです。
今回発覚したからこそ騒ぎになってますが、
これ、騒ぎになる前にずっと採取、利用していた人、いるんじゃないかなぁ…
情報取り過ぎでない? (スコア:3, 興味深い)
何に使っていたのかわかったものじゃありませんね。
…まあ、大して必要無い(かもしれない)情報を教えてしまうほうもどうかと思いますが…。
#「キレイになるため」とか言われたら反論できないのかもなぁ…。
Re:就職活動のものもあったようです (スコア:2, 参考になる)
エントリーか資料請求で入力した就職活動のデータも入っていたとのことです。私も気をつけなければ……。
不謹慎ですが (スコア:1)
SPAM だったら、私がよくもらうのとあまり変わらないのかもしれませんが ...
# わけのわからん英語のられつ。
Re:不謹慎ですが (スコア:2, おもしろおかしい)
その手のサロンに興味ある人にあんな脂肪・塩分たっぷりのものを送るのは大問題かと。
Re:不謹慎ですが (スコア:2, おもしろおかしい)
Re:不謹慎ですが (スコア:1)
Re:漏れてたデータ (スコア:1)
報道は正しくなされているか? (スコア:3, 参考になる)
Re:報道は正しくなされているか? (スコア:2, すばらしい洞察)
2chでは (スコア:2, 参考になる)
Re:2chでは (スコア:1)
知りませんが,報道に対する圧力とかあるのかもしれませんね。
今回ばかりは,各局ワイドショーの"ヒステリックな"報道に期待します。
TBCを徹底的に叩いて,個人情報取り扱いに関する各社の目を覚まして
ください。
Re:ワイドショーが適切に叩けるか? (スコア:2, 興味深い)
>ということとしか理解不能だと思う。
残念ながら,そうかもしれません。
逆に,こういった個人情報漏洩が起きた場合に,いつまでたっても
『得体の知れない「ハッカー」が悪い』という事にされてしまって,
漏洩した側の責任が曖昧にされてしまわないかと,危惧しています。
状況を改善するには,"技術的な事情の分からない人達"による,
(その事情を適切な解説によりある程度理解した上での)圧倒的な
批判が必要なのではないかと思います。
ワイドショーじゃ無くてもいいんですが,今回の事件のTBCの落ち度
について,分かりやすく解説してくれるメディアがあれば,と思い
ます。前の記事で"ワイドショー"と書いたのは,ワイドショーを見る
主婦層にとってTBCは関心のある話題でしょうから,ここで適切な
報道がされる事で,Web上でサービスを提供する企業や,利用する
ユーザ側の危機意識が高まってくれると良いと思ったからなんです
けど…。やっぱり無理でしょうかね。
Re:ワイドショーが適切に叩けるか? (スコア:1, 参考になる)
ハッカー怖い的な感想はなく、なかなか適切だったと思います。
(見たい人は2ちゃん本スレへGO!)
ZAKZAKの記事がここ [zakzak.co.jp]にあります。
Re:2chでは (スコア:1)
ほぼ1日経過しての「ニュース」ですから、少しは情報
確認をしたのかと言いたくなります。
まぁ、日本の新聞に何を言っても無駄でしょうけどね。
他にも (スコア:2, 興味深い)
TBCによると (スコア:1, 興味深い)
アンケートにせっせと答えていた顧客予備軍は、 かなりひいただろうな。
Re:TBCによると (スコア:1)
もっと指摘しないと。
-- LightSpeed-J
相変わらず (スコア:1, すばらしい洞察)
pine-apple
想像すると… (スコア:1, すばらしい洞察)
ダイレクトメールが来るのは必定
TBCの顧客は悲愴だと思う…。
何故って顧客の欲っするものがばればれだし…
これで詐欺なんか起きるのでは?
あと思ったのが、テストなんたるものがあったが…。
ってことは、 開発中のプログラマが
テストデータとして置き忘れたもの?…。
むしろ (スコア:1)
http://www.neonagy.co.jp/business.html
# TBCのページ制作受注先ね
Re:むしろ (スコア:2, 参考になる)
そういう場合は顧客資産になるわけですから、不良があろうが仕様に沿ってなかろうが顧客の問題になります。
逆に世間が『開発会社』に説明を求めても、「顧客の仕様通りです(=了承を得ています)」という返答になるかと…。
# 自分のシステムは、自分達でちゃんとチェックしてね>各顧客
Tak.Miyoshi
あの~ (スコア:1)
企業のWEBページに載っている取引先の実績なんて、ほーんのチョットだけやりましたとか、全体の一部だけやりました、てなものも結構あるもんだし。
#もしかして何か勘違いしとるのかな? > ワシ
心配しすぎ? (スコア:1)
ってな感じで個人情報保護に名を借りたメディア規制法が
成立してしまわないか心配です。
Re:心配しすぎ? (スコア:1)
ただ、今回のような事例の場合、本来個人情報を漏洩させた会社側の問題ですから、情報を取得する側の過失責任に対する罰則規定も法整備してほしい。なんでもかんでも【不正侵入】で責任逃れさせない意味でも。
違反者は、2chで個人情報晒しの刑とかどうでしょうか。
Re:心配しすぎ? (スコア:2, すばらしい洞察)
「Webサイトで自由に閲覧できる状態になっていた(主犯はTBC)」のと、「電子掲示板に掲載されていた(主犯はどこぞの不埒者)」のとでは、読者のこの問題に対する認識がまったく逆になるでしょうから。
陰謀論には与したくないですが。
# 最初は半端な知識しかない記者が、伝聞情報だけで書いたためかと単純に思っていました。
## それはそれで問題ですが。
Re:心配しすぎ? (スコア:2, 参考になる)
「盗み出されて」「掲載されていた」って…強烈な悪意を感じるんだけど…。
補足 (スコア:1)
は、はしょりすぎたと思う。「主犯はサイトの運営者」とでもすべきでした。
その2:
個人情報保護法案の読売試案については、これら [google.co.jp]もありました。
Re:不正? (スコア:2, 参考になる)
http://www.tbc.co.jp/cgi/
を開いてみたら
Index of /cgi
と、ずらずらと.csvのリストが出てきて
どれどれ、とひとつクリックしてみると
顧客情報がずら~~~~っ
…というのが事実です。
ホームページサーバーの深部へアクセスがあり、ホームページへアクセスを頂いた「お問い合わせデータ」の一部が流出するという事態が発生した [tbc.co.jp]
……ふーん……
Re:不正? (スコア:1)
空(あるいは,トップページに誘導するなど)の index.html を置くだけでも良ような気がするのですが,どうなんでしょう。
Re:不正? (スコア:1)
Re:index.html 置けばいいってのはおかしくないか? (スコア:1, すばらしい洞察)
Re:index.html 置けばいいってのはおかしくないか? (スコア:1)
確かにファイル名が判っていれば簡単にアクセスされるし,泥縄的な対応というのは判っているけど,単純でそれなりに効果のある方法だと思い込んでいます。
それに Webサーバ設定の知識が無くてもできるっしょ,この方法だと。
まぁ,Webサーバ構築・運用をしている会社だったら,それなりの適切な設定をした上で,運用中のミスに備えて index.html を置くとかさ。
と書きながら気づいたけど,本質的な問題を見失っていますね,>をれ。
Re:index.html 置けばいいってのはおかしくないか? (スコア:1, 参考になる)
ただそれを言ってしまったらそこで話が終わるで、その手の一山幾らのバカ…もとい、初心者をいかにまともな方向に誘導するか、と言った話も有益だとは思うのよ。
世間一般の「サルでも出来るcgi」的なHowTo本でこういったあたりのTipsまで乗っけた本は無いものか…。
Re:index.html 置けばいいってのはおかしくないか? (スコア:1, すばらしい洞察)
という構造的な問題を解明すべきではないか。
Re:index.html 置けばいいってのはおかしくないか? (スコア:2, 参考になる)
DBからデータを取りながらHTML等を吐き出すのは、サーバー負荷が非常に大きいので、ニュースサイト等の「静的なページで用が足りる」サイトは、HTMLを書き出しておいて参照するのが一般的(パフォーマンス重視)な方法です。一応ご参考まで...
よく言うな、、、 (スコア:1, 参考になる)
年齢、住所、名前、電話番号、メールアドレス、
モノによって学歴、スリーサイズ、目的(2の腕出してセーター着たい、もう一度彼氏が欲しい等)、家族構成、、、、、
量といい内容といい、過去最悪では?
被害者面する前に事実を確認し、事実に沿って(もし発生していたなら)本当の被害者に手を突いて補償すべきだと思いますが。。
Re:よく言うな、、、 (スコア:2, 参考になる)
という主張らしい [tbs.co.jp]。
今度は書き換えれないように (スコア:2, 参考になる)
経費削減のためにTBC自体がサーバ管理していたりするんかな?
RPMでインストール後、そのままhttpd startとかないよね。
CGIも、「hogehogeでもわかる!!はじめてのCGI!!」といった感じの
なんちって技術書をかじった社員だったり?
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
OSはSolaris (スコア:2, 興味深い)
OSはSolarisみたい [netcraft.com]ですけど。なんかWebサーバーを最近変えてますね。ここら辺が原因?
Re:OSはSolaris (スコア:1)
これ [sut.ac.jp] を突っ込んだだけなのかなぁ?
Re:OSはSolaris (スコア:3, 参考になる)
まずソースをコンパイル出来る環境を作る事から始めなければなりません。
それが面倒でバイナリインストールだったのではないでしょうか?
Re:よく言うな、、、 (スコア:1, 参考になる)
アプローチはできないわけですよね?
パスワードかかってなかったわけだから。
Re:残念だったね (スコア:1, すばらしい洞察)
office氏も2年前だったかに同じディレクトリ丸見え問題で、
ウェブメールか何かのサイトに指摘をしていたね。
たしかメールが丸見えだったという事例だった。
office氏みたいに目的を持って行動している人ばかりのうちはいいけど、
今後、目的もなく偶然見つける人が増えてくるでしょう。
そのとき、指摘の連絡をもらっても、相手が匿名だからってので対応を誤ると、
その人は掲示板で暴露しちゃうかもしれない。
ねばり強く対応を迫るなんて、目的のない人には面倒なだけだからね。
そうならないための体制作りが必要で、office氏の活動はそれができるのかの実験だと思う。
Re:見てみたいぞ...。 (スコア:1, 興味深い)
むしろそこに全顧客データをまとめて、DBみたいに使っていたのでわ。
そうすると、顧客本人がWebで入力していなくても、
ご丁寧にTBCスタッフがそこのページに手入力登録(w
>見られて恥ずかしいデータなんて、あったかなー。
ご愁傷様。
とはいえ、自分の恥ずかしいことなんてそうそう忘れないだろうから、
思い出せないのであれば恥ずかしいような事は無かったのでは。
Re:見てみたいぞ...。 (スコア:3, おもしろおかしい)
過度の期待は極度の失望を招きます。ご注意ください。
ごめん (スコア:1)
確証があっての発言ではありません。
単なる可能性を論じるつもりがあんな書き方に...。
失礼しました。m(_ _)m
Re:銀行編 (スコア:2, おもしろおかしい)
Re:銀行編 (スコア:2, おもしろおかしい)