東横INNの予約サイトのセキュリティが改善
2016年4月23日 21:20
usagito 曰く、 ビジネスホテルチェーン「東横INN」の予約サイトのセキュリティが改善された(東横INNのお知らせ)。 従来は「名前+生年月日」または「生年月日+パスワード」でログインし、予約および予約の確認・変更・キャンセルを行うことができる仕様だった。2月18日に「メールアドレス+パスワード」の新ログイン方法が導入され、4月17日いっぱいで旧ログイン方法による認証が廃止された。 タレコミ人は昨夏、IPAにウェブアプリケーション脆弱性関連情報として届け出ている。ホテルの予約情報というのは、センシティブかつ具体的被害の危険があるのだから、もうちょっとまじめに構築しておいてほしかった。とりあえず改善されてよかった。
移行手続き期間は5月17日まで。それまでに移行手続きをしない場合、予約の際に新規アカウントの作成が必要になる。なお、移行手続きの際は姓・名・生年月日・電話番号での認証が行われるようだ。
スラドのコメントを読む | セキュリティセクション | セキュリティ | アナウンス
関連ストーリー: 住信SBIネット銀行、OAuthによる外部サービスとの連携を開始 2016年03月26日 JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される 2016年02月03日 家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 2015年07月02日 三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に 2015年06月22日 スラドに聞け:Webサービスでの「電話番号登録」はセキュリティ強化につながるのか 2015年05月21日 個人情報が意図せず公開状態になっているWebサイトを発見、どう対処する? 2015年03月08日 ガラケー向けTwittertwtr.jpがリニューアル、ついに簡単ログインを廃止 2015年03月02日 ANA、会員向けオンラインサービスのログイン用に8~16桁の「Webパスワード」を導入すると発表 2014年08月20日 JALが携帯電話を使わない二段階認証を採用 2014年08月04日 NHK、受信料未払いで東横インを訴える。東横イン側は争う意向 2012年09月11日 東横インとりそなカード、情報流出の後始末 2005年03月08日