メッセージ

2011年10月11日の記事

2011/10/11(火)マジか…

PC
ホビレコード(HOBiRECORDS)の通販サイト、CLUB HOBiにおいて不正アクセスにより一部情報漏洩の可能性とのメールが来た。マジかよ。ホビレコードというと、あまりメジャーじゃないがPSすりーさんのCDの通販で利用していたところだ。
俺の個人情報は対象外との説明だが本当に大丈夫か。

そんで公式の説明が書いてあるが、まずだな、なんでテキストじゃなく画像なんだ?web運営者がバカなだけならいいけど、何かしらの意図があってそうしているのかと邪推してしまう。例えばコピペされにくいとか、キャッシュにされにくいとか。トップページにしかないのでなおのことキャッシュに残りにくいからな。

あとそもそもSQLインジェクションで漏洩とか今更何言ってんの?そんなの昔から何度も事件になってるセキュリティホールなのに対策してないとか意味わかんないんだけど。
それと、漏洩した情報が「氏名、住所、ID、パスワード、暗号化されたクレジットカード情報」となってる件。問題は『暗号化された』と書いてるのがクレジットカード情報のみである件。すなわちその他の情報は平文でした、ということか?住所氏名はともかく、パスワードが平文とか何なの?こういう設計する奴は滅んで欲しいわ。外部漏洩しなくてもDB自体にパスワードが平文保管されてる事実そのこと自体問題視すべきなのに、なんで平文保管するんだろう。
このサイトだけでなく、他のサイト、DBでもそういうところが多分にありそうな気がする。こういう基礎設計自体にセキュリティのリスクを抱えることを何で理解出来ないのかな。自分のクレジットカード、銀行キャッシュカードにマジックで暗証番号書く奴いねーだろ?盗まれたり落としたりしないなら書いてても問題ない筈なのに書かないだろ。盗まれたときに怖いから書かないんだろ。DBも同じだろうに。

なんつーかこの手の小さい通販サイトはマジでヤバい。リスクが高すぎる。高度なクラッキングによるものでなくて、単純なセキュリティホールを放置した結果漏れることがほとんどだ。利用するならそのリスク込みで使わないといけない。俺はサイト毎の種類(ショッピング、バンキング、など)や、規模なんかで色々IDやメアド、パスワードを使い分けてるので1つの漏洩から全部に影響することはないが、同一のID/PASSの人はたくさんいるんじゃないかなあ。
危険だから使わないのが一番だが、利便性のためにはやっぱり使っていきたい。サイト管理者側はもっと頑張って欲しい。
OK キャンセル 確認 その他