ハピタス URLクリックで他アカウントにログイン
昨日『ハピタス』で不正ポイント交換があったことについて書いたけど、本日また重要なお知らせが出ていた。
以下一部転載。
2013年3月20日に携帯電話(フィーチャーフォン)宛てにお送りしたメールにおいて
文中のURLをクリックすると、他のお客様の情報が表示されるという問題が
発生しておりました。
他のお客様から閲覧可能な状態になっていた可能性があるお客様は69名の方でした。
この方々には個別に対応させていただきますが
本件は弊社としても重大な事案であると認識しておりますので
すべてのお客様にご報告させていただきます。
なお、セッション情報の脆弱性が確認されたため
モバイル版ハピタスのサイトを一時的に閉鎖いたしました。
PCおよびスマートフォン版のハピタスについては上記のような問題は
発生しておらず、通常通りサービスをご利用いただけますので
その点についてはご安心ください。
ご迷惑をおかけすることとなり、誠に申し訳ございません。
心よりお詫び申し上げます。
■対象
2013年3月20日11:00 にお送りしたメールを携帯電話で受信し
URLをクリックされた69名のお客様
※件名:【重要】パスワード変更のお願いおよびポイント交換に関するお知らせ
※パソコンおよびスマートフォンで受信された方には影響はございません。
■事象
メール文中のURLをクリックした方が、同じURLをクリックした別の方の
アカウントとしてログインできてしまっておりました。
そのため、対象の69名様においては、以下の個人情報が最大5,954名の
方から閲覧できる状態でした。
・メールアドレス
・ポイント交換履歴があった方の場合、振込先の口座名義
※上記以外の個人情報(パスワードなど)は閲覧されておりません。
要約すると、20日に携帯電話(フィーチャーフォン)宛てに送ったメールに記載されていたURLをクリックすると、他アカウントでログイン出来てしまった。
そのため、登録情報や振込先に登録していた口座名義などが丸見え状態になっていたということ。
なんというか・・・。
ポイント不正交換の問題が発生して、そのためのお知らせメールだったというのに、そのお知らせメールがこんな問題に繋がっちゃうなんて、ある意味すごい。
幸いにして、ログイン状態にあってもパスワードは見ることが出来ないので、そこから不正交換があったり悪用されることはないと思うけれど。
でも被害に合われた方からすると、とんでもないことですよね。
個人名やメルアド、中には携帯キャリアのメルアドも登録していた人もいるだろうし、それが知られちゃうなんて本当に怖い。
ハピタスの対応の早さだけは評価できるけど、今後は信頼回復に頑張って欲しい。
