パスワード変更不可な米長距離バス会社のWebサービス

米国の長距離バス会社GreyhoundのWebサイトGreyhound.comでは利用者向けのポイントプログラムを提供しているのだが、登録した会員はパスワードを変更することもできないそうだ(Ars Technicaの記事)。

パスワードの保存に弱いハッシュが使われていた、クレジットカードのセキュリティコードを保存していた、といったWebサイトのバッドプラクティスはたびたび話題になるが、Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり、パスワード変更機能自体が用意されていないとのこと。

これについてGreyhoundの広報担当者はArs Technicaに対し、指摘された問題は将来的に対応を行う計画だが、Webサイトでチケットを購入する際に顧客の決済情報が盗まれたことはないなどと述べているとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 変なモノ | インターネット | 暗号 | 交通

　関連ストーリー：
ぴあの運営するBリーグチケットサイトで個人情報15万件が流出、Struts2の脆弱性が原因 2017年04月26日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日