スロイスが勝手にオススメするエントリー

2008.08.20  ナチュラムの個人情報をCookieに保存している件が直ったようです

またまた、ナチュラムの個人情報漏洩問題についてです。
何度もブログのエントリーにしていて、いい加減アレなのですが、自分から色々とふってしまったのでもうしばらくお付き合いください。
それにしてもこういう生の事例を追っかけていくと、非常に勉強になります(笑


さて、この記事『まだまだ危ないぞ、ナチュラムの個人情報漏洩』で指摘した、個人情報が漏洩したにもかかわらず、個人情報をCookieに保存している件がとりあえず直っていたようなので報告。

ナチュラムのお知らせページの『お名前の表示変更につきまして』にあるように、8月14日に今まで登録した本名が表示されていたログイン情報がログインIDに変更になりました。
それと同時に、個人情報をCookieに保存している件も直されたようです。
(暫定対応なのか、仮対応なのかは分かりませんが)


それでは確認してみます。
■まずはログイン
ログイン情報
ログインをしたら、今まで登録した本名が表示されていましたが、今度からはログインIDの表示になっています。

■Cookieの内容
今度はCookieの内容を確認します。
Temporary Internet Filesフォルダを開き、ナチュラムのCookie『Cookie:●●●●(Windowsのユーザアカウント)@www.naturum.co.jp』をエディターで開きます。
そして、ユーザーネームとユーザーIDの部分を探します。
Cookie

今までは%から始まるURLエンコードされた本名と平文(暗号化されていない)のユーザーIDでしたが、今度は20文字以上の英数字になっています。
画像の赤線と青線のwaqwで始まってる部分。
多分セッションID(もしくはキーになる値のハッシュ値)をUSER_NAMEとUSER_IDに入れているようです。

確認した結果、Cookieに個人情報を書き込むようになっていた仕様は改修されたようです。



■それと、雑誌の日経コンピュータ8月15日号に今回の情報漏洩の詳細が書かれていたので物凄いおおまかに引用。

内部スタッフが商品一覧を作成するプログラムがSQLインジェクションで攻撃され、データベースからFTPサーバへのログイン情報が盗まれる。
その、盗んだログイン情報でFTPサーバーにアクセスしバックドアのプログラムを設置。


だそうです。


■日経BPのサイトITProにも雑誌とは多少内容が違いますが【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えいという記事がありました。

>カード与信など向けにカード番号全ケタと有効期限を記録する別のデータベースがあった

漏洩した顧客マスタのカード番号下4桁は保持しておりませんとかナチュラムのサイトには有りましたが、もしかしたらカード番号全桁が漏れた可能性もありそうですね・・・。

2008.08.20 | ナチュラム個人情報漏洩問題 | Comments(0) | Trackback(0)

«前のページ  | HOME |  »次のページ

 


FC2Ad

まとめ

SUROISUのTwitter

プロフィール

スロイス

Author:スロイス
さいたま周辺の荒川・入間川・びん沼・新河岸川放水路とかに自転車でブラックバスを釣りに出没中。
たまに登山とか、冬はスノボーとか。

より詳細なプロフィールはこちらから。
スロイスのプロフィール

月別アーカイブ

カウンター

ブログ内検索