日産レンタカーのサイト、パスワードリマインダーにセキュリティ問題
2017年4月13日 21:27
Printable is bad.曰く、 日産レンタカーのパスワードリマインダー機能にセキュリティ上の問題が発覚した(「黒翼猫のコンピュータ日記 2nd Edition」ブログ)。
同サイトではメールアドレス(ログインID)・カナ氏名・電話番号の3つの情報を入力するだけでWebブラウザ上に生パスワードが表示される仕様になっており、表示されたパスワードでログインすることで不正な予約操作ができるほか、漢字氏名・性別・生年月日・郵便番号・住所・運転免免許証番号などの個人情報を閲覧できる状態となっていた。
生パスワードを照会可能なだけでも大きな問題であるが、メールアドレスへの確認コードの送信なども要求されなかったことや、メールアドレス・カナ氏名・電話番号は第三者も容易に知り得る情報であることから、危険性が極めて高い問題であったといえる。
なお、パスワードの照会を行っても登録メールアドレスへの通知は行われないため、知らないまま第三者に個人情報が入手される被害が発生していた可能性も考えられる。
この問題は、今月10日に対策され、現在はWebからのパスワード照会機能は停止している。