2010年04月02日
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
メッセサンオーでPCゲーム通販の顧客情報がネットで流出したそうで、えらい騒ぎになってますね。
20年くらい前に行った時は、確かパソコンソフトと普通の同人ソフトのお店だったと思うのですが、今は18禁ソフトや、同人ソフト、フィギュアの販売など、完全にマニア向けの商売やってるんですねぇ|・ω・)
で、お客さんが何買ったかとかという情報に加えて、個人情報が完全に流出してしまってるので、さぁ大変という事情のようです。
20年くらい前に行った時は、確かパソコンソフトと普通の同人ソフトのお店だったと思うのですが、今は18禁ソフトや、同人ソフト、フィギュアの販売など、完全にマニア向けの商売やってるんですねぇ|・ω・)
で、お客さんが何買ったかとかという情報に加えて、個人情報が完全に流出してしまってるので、さぁ大変という事情のようです。
何で流出したのかをショッピングカートを開発した業者のホームページを見てみたところ、信じられないようなことが書かれていました。
設置方法Q&A14−管理画面の呼び出し方法 - WEBインベンター
多少、CGIをかじったことがある人ならお分かりでしょうが、アドレスバーにパスワードが含まれるのは、GET METHODで FORMデータのやり取りをしているからです。
さらに、セッション管理ではないので、延々とHIDDEN プロパティで全てのページにパスワードを含むURIを投げる仕組みになっているようです。
漏れている、URLをみると、httpsになっていますが、これは、URLの情報がインターネットを経由する時に、プレーンテキストで流れないという意味合いを持つに過ぎません。
どういうことかは、後述します。
さて、そのサイトさんで、今日付けで、CGIの対策を行ったと書かれているので見てきました。
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
単に、一般仕様に基づく検索エンジンにクロールされないようにする対処しかされていません。
つまり、Meta tagを無視してクロールする悪意のある検索エンジンがあった場合、無意味です。
さて、https(SSL)を用いているけど意味がないというのはどういうことかと言うと、
ブラウザのURLにパスワードが含まれた時点で以下の様なリスクがあるからです。
・Googleサジェストの様に、アドレスバーの中身をデータベースに登録して候補と参照するサービスによるもの。
・フィッシングサイト検出機能の様に、アドレスバーの中身をデータベースと比較するサービスによるもの。
・JWORDの様に、アドレスバーの中身を丸ごと収集するサイトによるもの。
・はてなツールバーやGoogleRankingの様にアドレス情報自体を扱う機能によるもの。
・リファラーが何らかのはずみで、URL情報を送信(例えば、埋め込み検索エンジン)
・Google Bookmarkの様なサービスに情報が登録されてしまった場合。(例えば、FirefoxはCtrl+D+Enterを連続で押すとお気に入り登録されてしまうことに気づかない)
数千人の個人情報が流出したとありますが、検索結果のほとんどのURLが流出しているところをみると、多分ツールやGoogle Chrome のサジェストみたいなものが情報収集したんじゃないかなと推測します
そんな訳で、常識的に考えれば、URLにパスワードが出てくるのをフレームで隠蔽するだけの処理を勧めるなどあり得ないわけなのですが|・ω・)
これは、メッセサンオーが訴えてもいいレベルだと思うんですがいかがなもんでしょう。
ちなみに、ここに Webインベンターさんの携帯版サイトあるわけですが、サンプルのショッピングカートのURLが見事にグーグルにキャッシュされてることからも危険性がよく分かりますw
調べてみると、他にも、管理パスワードが漏えいしているサイトがありますね…。だめだこりゃ。
現時点でGoogleにパスワードごとキャッシュが漏えいしているサイト(サイト管理者に連絡済み)
mobile-inventorサンプル1
mobile-inventorサンプル2
メッセサンオーPCソフト通販部
某D 衣類関連のモバイルサイト
某M 音楽サイト
某F 模型通販ショップ
某G モータースポーツショップ
Googleに過去に漏えいしていたサイト(サイト管理者に連絡済み)
某R ブランドショップ
某C アクセセショップ
漏えいする可能性が高いサイト
現金問屋 安住商事
MOBILE SHOP ERO POP
かにのプロが厳選する安くて美味しいかにの通販なら『かに伝説』
B-GeneRATEd(ビージェネレイテッド)
ブルーベリーの村ネットショップ
カントリー家具,雑貨 ドリームキャッチ
お香・お線香・癒しの香り《薫香堂》がお届け致します
裏DVD無修正DVD販売K&M
裏DVD・無修正DVD PEPPERMINT
リメイクファクトリー 一の井
RC shop スカイ・エクスプローラー
花の店KE-SE-LA
★DVD爆裂販売★
きものサロンさかもと
スケボーグッズショップハックルベリー
NoveComi(ノベコミ)ボーイズラブShop
関連サイト:
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch
痛いニュース(ノ∀`):人気ゲーム店「メッセサンオー」、ネット通販のエロゲ購入者などの情報流出…ネットで祭り状態に
設置方法Q&A14−管理画面の呼び出し方法 - WEBインベンター
| 管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。 |
さらに、セッション管理ではないので、延々とHIDDEN プロパティで全てのページにパスワードを含むURIを投げる仕組みになっているようです。
漏れている、URLをみると、httpsになっていますが、これは、URLの情報がインターネットを経由する時に、プレーンテキストで流れないという意味合いを持つに過ぎません。
どういうことかは、後述します。
さて、そのサイトさんで、今日付けで、CGIの対策を行ったと書かれているので見てきました。
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
| さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによ るものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施しましたので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラクを使う 管理プログラムに下記の対策がなされています。 1.metaタグの挿入(noindex,nofollow,noarchive) 2.USER_AGENTよるSpiderの排除 3.検索エンジンにインデックスされてしまったときの対処 |
つまり、Meta tagを無視してクロールする悪意のある検索エンジンがあった場合、無意味です。
さて、https(SSL)を用いているけど意味がないというのはどういうことかと言うと、
ブラウザのURLにパスワードが含まれた時点で以下の様なリスクがあるからです。
・Googleサジェストの様に、アドレスバーの中身をデータベースに登録して候補と参照するサービスによるもの。
・フィッシングサイト検出機能の様に、アドレスバーの中身をデータベースと比較するサービスによるもの。
・JWORDの様に、アドレスバーの中身を丸ごと収集するサイトによるもの。
・はてなツールバーやGoogleRankingの様にアドレス情報自体を扱う機能によるもの。
・リファラーが何らかのはずみで、URL情報を送信(例えば、埋め込み検索エンジン)
・Google Bookmarkの様なサービスに情報が登録されてしまった場合。(例えば、FirefoxはCtrl+D+Enterを連続で押すとお気に入り登録されてしまうことに気づかない)
数千人の個人情報が流出したとありますが、検索結果のほとんどのURLが流出しているところをみると、多分ツールやGoogle Chrome のサジェストみたいなものが情報収集したんじゃないかなと推測します
そんな訳で、常識的に考えれば、URLにパスワードが出てくるのをフレームで隠蔽するだけの処理を勧めるなどあり得ないわけなのですが|・ω・)
これは、メッセサンオーが訴えてもいいレベルだと思うんですがいかがなもんでしょう。
ちなみに、ここに Webインベンターさんの携帯版サイトあるわけですが、サンプルのショッピングカートのURLが見事にグーグルにキャッシュされてることからも危険性がよく分かりますw
調べてみると、他にも、管理パスワードが漏えいしているサイトがありますね…。だめだこりゃ。
現時点でGoogleにパスワードごとキャッシュが漏えいしているサイト(サイト管理者に連絡済み)
mobile-inventorサンプル1
mobile-inventorサンプル2
メッセサンオーPCソフト通販部
某D 衣類関連のモバイルサイト
某M 音楽サイト
某F 模型通販ショップ
某G モータースポーツショップ
Googleに過去に漏えいしていたサイト(サイト管理者に連絡済み)
某R ブランドショップ
某C アクセセショップ
漏えいする可能性が高いサイト
現金問屋 安住商事
MOBILE SHOP ERO POP
かにのプロが厳選する安くて美味しいかにの通販なら『かに伝説』
B-GeneRATEd(ビージェネレイテッド)
ブルーベリーの村ネットショップ
カントリー家具,雑貨 ドリームキャッチ
お香・お線香・癒しの香り《薫香堂》がお届け致します
裏DVD無修正DVD販売K&M
裏DVD・無修正DVD PEPPERMINT
リメイクファクトリー 一の井
RC shop スカイ・エクスプローラー
花の店KE-SE-LA
★DVD爆裂販売★
きものサロンさかもと
スケボーグッズショップハックルベリー
NoveComi(ノベコミ)ボーイズラブShop
関連サイト:
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch
痛いニュース(ノ∀`):人気ゲーム店「メッセサンオー」、ネット通販のエロゲ購入者などの情報流出…ネットで祭り状態に
トラックバックURL
この記事へのコメント
1. Posted by これはひどい 2010年04月02日 20:19
高木浩光先生にも吊るされるべき
2. Posted by CZ500C 2010年04月02日 21:48
あ、やっぱり。
いつかこんな事になるだろうとは思っていたので店頭購入しかしないのよね。
>サンオー
いつかこんな事になるだろうとは思っていたので店頭購入しかしないのよね。
>サンオー
3. Posted by くまっち 2010年04月03日 01:08
おもしろすw。
というか酷過ぎるw。
僕でももう少しましな物を作ると思うw。
というか酷過ぎるw。
僕でももう少しましな物を作ると思うw。
4. Posted by パンク 2010年04月03日 01:21
ワロタ
もうm9(^Д^)プギャーしかないなあ
もうm9(^Д^)プギャーしかないなあ
5. Posted by 2010年04月03日 02:32
昨日は、思わずGoogleのキャッシュを覗いて近所の人を見つけてニヤニヤしてました。
昔は山櫻電機とかいうお店で、電機屋さんでしたよね。気が付いたらソフト屋になっていました。このお店でメガドラのソフトを買った覚えがあります。80386超速えー扱いだったころです。
事件のことは知ってましたが、昨日もSTGを注文しました。18禁は買わないし、多少漏れても気にしないです。
プギャーだのなんだのと後付けでいろいろ言ってる人たちはレベルが低いですね。
昔は山櫻電機とかいうお店で、電機屋さんでしたよね。気が付いたらソフト屋になっていました。このお店でメガドラのソフトを買った覚えがあります。80386超速えー扱いだったころです。
事件のことは知ってましたが、昨日もSTGを注文しました。18禁は買わないし、多少漏れても気にしないです。
プギャーだのなんだのと後付けでいろいろ言ってる人たちはレベルが低いですね。