楽天のかっこいいURLの件 - <s>gnarl,</s>技術メモ”’<marquee><textarea>¥
経緯 楽天メルマガの個人情報89件、Webから閲覧可能に ユーザー自ら専用URL公開で - ITmedia NEWS 「楽天メールマガジン情報漏洩の話・さらに続き」- 水無月ばけらのえび日記 楽天のメルマガを一括配信停止するためのインターフェースとして、【楽天市場】楽天のメルマガというページがあります。ここに自分のメールアドレスを送ると、 [楽天ショップのメルマガ一覧 登録情報確認・変更・配信停止] https://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=****************** という形式で、セッションID付きの URL がメールで返ってくるそうです。 http://blog.spicebox.jp/labs/2008/09/post_97.html 調査した結果、弊社から『【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・
楽天メールマガジン情報漏洩の件 - ドグマを探しに
メルマガの配信申し込みサイトがクロールされており、Googleのキャッシュページに個人情報ページが残っていたということです。 ユーザがどうこうというのではなく、楽天側の責任が問われるべきなのは明白であると思います。 「楽天メールマガジン情報漏洩の話・続き」@水無月ばけらのえび日記 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す必要があります。それに気づかないと、「何度配信停止しても、買い物するたびにメールマガジンの送信が再開されてしまう」という現象が起きることになり、そうなっても簡単に配信を停止できるように、「配信停止画面をブックマークしておく」ということが行われていたと……。 ブラウザのブックマークではなく、ソーシャルブック
楽天メルマガ情報流出事故 「利用者の自己責任」?
楽天のメルマガ登録用サイトで発生した情報流出事故をめぐり、楽天側が事故の原因などを発表した。原因は「メールで個別に連絡したURLをお客様がQ&Aサイトやブログに貼り付けたり、ソーシャルブックマークに登録したりする際、当該URLが検索サイトのクロール(巡回)対象になっていた」とした上で、責任の所在については「当該URLの想定を超えた使途によるもの」と主張。特に謝罪は行っておらず、「流出は利用者の自己責任」とも取れる説明になっている。 検索サイトの巡回対象にならないようにする 今回の事故は、個人情報を変更する手続きのための画面が、グーグルなどの検索エンジンで検索可能な状態になっていた、というもの。同画面では、もっとも多い場合で(1)氏名(2)生年月日(3)性別(4)自分が住んでいる都道府県(5)メールアドレスが表示されていた。 楽天側は2008年10月1日夕方、この事実をウェブサイトで発表。発
楽天メルマガ登録個人情報 グーグル検索でなぜか「流出」
企業からの情報流出事故が相次ぐなか、楽天のメールマガジンの登録者情報が漏洩していたことがわかった。これまでの情報流出事故といえば、ウイルス感染やデータの盗難、USBメモリの紛失といった事例が一般的だった。ところが、今回は個人情報の登録を変更する途中の画面がグーグルなどの検索エンジンで検索できてしまうという、意外な経路で情報流出が起こっていた。登録した情報を変更したことがある利用者が、情報流出のリスクにさらされていた可能性が高いが、楽天側から具体的な説明はなされていない。 情報流出があったのは、同社が運営するメールマガジンの発行システム。メールマガジンを購読する際に入力した個人情報を変更する手続きのための画面が、グーグルなどの検索エンジンで検索可能な状態になっていた。このページには、登録されている個人情報(1)氏名(2)生年月日(3)性別(4)自分が住んでいる都道府県(5)メールアドレスが記
楽天市場の店舗での取引に係る個人情報の流出について(続報)
会員登録 楽天会員登録の仕方 ログインできない場合 会員登録情報の変更・削除の仕方 一覧を見る ポイント・クーポン ポイントを利用したい ポイントの獲得・付与について キャンペーンの特典ポイントについて ポイントギフトカードについて クーポンの使い方・獲得の仕方 一覧を見る 注文する お買い物前 商品の検索の仕方 お買い物の流れ・操作の仕方 お支払い方法について 配送・送料について 一覧を見る お買い物後 購入履歴について ショップとの連絡について キャンセル、返品、交換について 配送状況の確認の仕方 一覧を見る メルマガ 配信の申し込み・変更の仕方 配信の停止の仕方 バースデーメールの受け取り方 一覧を見る 楽天あんしんショッピングサービス 未着・遅延・欠陥品などの補償について ブランド模倣品の補償について 一覧を見る お困りの方へ 商品が届かない場合 商品が壊れている場合 クレジットカ
楽天メルマガの個人情報89件、Webから閲覧可能に ユーザー自ら専用URL公開で
楽天は10月1日、楽天市場のメールマガジンユーザーの氏名など個人情報89件が、検索サイトからアクセスしたり、第三者が改ざんできる状態になっていたことを明らかにした。 同社によると、ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークやブログなどに掲載していたことが原因という。同社は検索サイトにキャッシュなどの削除依頼を行い、URLに第三者がアクセスしても個人情報が見られない仕様に変更するなど対策した。 89件の大半は氏名、メールアドレスのみだったが、ユーザーによっては、性別、生年月日、在住都道府県も分かるようになっていた。クレジットカード番号などは含まれていない。 9月26日にユーザーからの問い合わせで発覚。原因を調べた。ユーザーがメールマガジンの登録情報を変更する際、メールアドレスを指定すれば、登録情報変更用のユニークなURLがメールで送られてくる
楽天メールマガジンの変更画面から情報漏洩 | 水無月ばけらのえび日記
更新: 2008年10月1日 セキュリティホールmemoより: site:emagazine.rakuten.co.jp で検索すると個人情報っぽいものが見えるとか見えないとか。 (www.st.ryukoku.ac.jp) メールマガジンの設定変更の画面が第三者に見えてしまう、という話のようで。まとめると、 設定変更画面のURLは、ユーザごとにユニークなIDを含むものになっているユニークIDは複雑で、他人の変更画面のURLは簡単には推測できない (……と思うのですが未確認)が、そのURLさえ分かってしまえば、GETリクエスト一発で認証もなしに変更画面にアクセスできてしまうアクセスすると、現在の設定情報 (氏名、メールアドレスなど) が見えてしまうそして何故か、そのURLをGoogleやWindows Live Searchがクロールしており、検索でヒットして残念なことに…………ということ
喪男のまとめ切れない事。―楽天個人情報流出wwwwwwwwwwwの詳細表示
<< | 2008/10 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | >>
楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
ラボ神部です。 今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。 そもそもの原因は そもそもの原因は、Google のロボットのように、メルマガの本来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delete_conf&k= の act= のあとがコマンド、k= のあとの部分がセッション ID になっているのは明らかです。楽天がどのようなプラットフォームの上で動いているのかわかりませんが、PHP なら php.ini で session.use_trans_sid オプションを ON にする
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/000913.html