hylomによる
2008年10月01日 13時29分の掲載
さすがGoogle! 俺たちにできないことを平然とやってのけるッ!部門より。
さすがGoogle! 俺たちにできないことを平然とやってのけるッ!部門より。
あるAnonymous Coward 曰く、
メールアドレスなどを含む楽天メールマガジンの設定変更画面がGoogleによってクロールされ、そこから個人情報が漏洩する、という事件が起きている(セキュリティホール memo)。
この件については「水無月ばけらのえび日記」が詳しいが、 「site:emagazine.rakuten.co.jp」というキーワードでGoogle検索を行うと、ユーザーごとのメールマガジン設定変更画面が検索結果として一覧表示されてしまう。設定画面自体は検索結果をクリックするだけでは確認できないが、Googleのキャッシュ機能を使ってその内容が見えてしまうものもある。
また、GoogleだけでなくWindows Live Searchでも同様のものがヒットするということで、原因はまだ分かっていないようだ。
「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記によると、ソーシャルブックマークに間違って(もしくは無意識に)設定変更ページを登録してしまったのが原因の1つではないか、と推測されている。
もっと怖い話 (スコア:5, 興味深い)
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。
Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。
4文字は何でしょうね。鍵でしょうか。どうせろくでもない独自暗号ではないかと思われます。もし暗号アルゴリズムがバレていたら、どんなことになっていたか……
……メールアドレスからどのユーザの情報でも引き出せていたと考えられます。Googleにキャッシュされてないものも全部。
楽天はそういうことが起きてなかったか確認する義務があるんじゃないですかね。
コメントを書く
Re:もっと怖い話 (スコア:4, おもしろおかしい)
>4文字は何でしょうね
「楽天」をダブルバイトでと推理してみる。
コメントを書く
親コメント
Re:もっと怖い話 (スコア:2, おもしろおかしい)
#そんな昔に戻りたい。
コメントを書く
親コメント
NTTドコモは cookie 対応にするべき (スコア:4, すばらしい洞察)
コメントを書く
さすがにGoogleの責任じゃないでしょう (スコア:2, 興味深い)
コメントを書く
Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
公開ブックマークに不用意に登録した結果だけでなく、掲示板などに本人が書き込んだ(cf.「楽天メールマガジン情報漏洩続き」@水無月ばけらのえび日記 [bakera.jp])ものもあるようです。
一番悪いのは、URLにセッション追跡や認証のための情報を埋め込んだ楽天のような気がします。
コメントを書く
親コメント
Re:さすがにGoogleの責任じゃないでしょう (スコア:3, 参考になる)
担当者も、間に入ったSIもひどかったです。
システムに結構大規模な変更を行うというのに、
・同等システムでの事前検証は(時間もコストも無いから)やらない
・連絡が来たのが変更の10日前
・「重要なシステムなので、当日は現地で待機して、何かあったらよろしく」
てな感じでした。
純粋な技術的なスキルのほどは分かりませんが、システムの管理/運用スキル
というかリスク管理というか、その辺りは同規模/同重要度のシステムを運用する
他の会社よりもかなり劣る、という印象でした。
もっとも、それは必要なコストもケチるという体質の表れというだけなのかも
知れませんが。
#今も余り変わってないのかなあ。
コメントを書く
親コメント
他にロボット検索で晒される例 (スコア:1)
アクセスログ解析結果がいろいろと検索で引っ掛かる事もありますね。
=-=-= The Inelegance(無粋な人) =-=-=
コメントを書く
とりあえず (スコア:1, 興味深い)
ので、早晩キャッシュから削除されるでしょうが、さすがにちょっと無防備
すぎましたな(´ー`)y-~~
#でも、robots.txtを読まない系のチキンなクローラーが来たりすると……
コメントを書く
Re:とりあえず (スコア:3, 参考になる)
#念のためACで
コメントを書く
親コメント
楽天メルマガのリンクはユーザー毎に異なるがスタティックリンク (スコア:1, 参考になる)
なので、このURLが漏洩すれば私が取得しているメルマガがすべてわかるわけです。
これがダイナミックリンクで有効期限があれば、問題はかなり薄まると思うのですが………
コメントを書く
楽天メールマガジン情報漏洩続き (スコア:1)
1を聞いて0を知れ!
コメントを書く
Re:つまり、自分でブックマークした人だけなの? (スコア:2, 参考になる)
検索エンジンのクロールによってだと思いますので、被リンクのあるページだけになると思います。
害についてですが「本名」と「メールアドレス」がセットでバレるのは人によっては結構いたいです。
C# と VB.NET の入門サイト [wankuma.com]
コメントを書く
親コメント
Re:つまり、自分でブックマークした人だけなの? (スコア:1, 参考になる)
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 [slashdot.jp]
コメントを書く
親コメント
Re:誰? (スコア:1)
不正アクセス行為の禁止等に関する法律
// 改行は引用者が付加
いかにも法律っぽい、くどい言い回しにもめげずに、
5分ぐらい眺めていると、何となく意味が分ります。
これを見ると、sbmから「アクセス制御機能に係る他人の識別符号」
を引っ張ってきて、サーバにハンドル名や購読メルマガを表示させた
って事で、検索エンジンが一号に該当するような気が。
『メルマガの登録urlが「識別符号」になるの?』とか、
『そんな物騒な「識別符号」をsbmに貼り付けるのって、どうよ?』
みたいな話とか出てくると思うけど、そこら辺は識者にまかせた!
コメントを書く
親コメント