先日、このようなリリースがカルチュア・コンビニエンス・クラブより発表されました。
オリジナルはこちら。魚拓はこちら。
それによると、「第三者が御客様になりすましてTサイトにログイン」し「Tカード番号を不正にYahoo! JAPAN IDと連携」した上で「Tポイントを不正に利用した」という事件が発生したそうです。これは、かなりの問題ですね。でも、テストしたところ「TサイトにログインしなくてもTカード番号を不正にYahoo! JAPAN IDと連携」出来ることが判りました。
やり方は単純で、Tサイトからログアウトした状態で新規登録画面から
「Yahoo! JAPAN IDでログイン」を選択するだけ。すると、Yahoo!のパスワードを求められるので自分のYahoo! JAPAN IDのパスワードを入力します。すると
こんな画面になります。ちなみにメールアドレス欄にはYahoo!に登録しているメールアドレス(Tサイトに登録したメールアドレスとは別のもの)が入った状態です。そこで、Tカード番号と性別・生年月日を入力して登録すると、登録できちゃいます。
何となく想像は出来ますよね?
はい。TサイトにログインしなくてもTカード番号とYahoo! JAPAN IDが連携設定されました。と言う事は、Tカード番号と性別・生年月日が判れば第三者のものと連携設定が出来ると言う事になります。ちなみに、CCCの先のサイトには「身に覚えの無い連携完了メールを受け取られた場合はCCCに連絡するように」と書かれていますが、先のテストでは「Tサイトに登録したメールアドレス」にも「連携設定時に登録したメールアドレス」にも連携完了メールは届いていません。ということは、本人が知ることなく第三者が連携設定することが可能になると言う事です。
怖いですね〜。
ちなみにCCCの先のサイトには「不正アクセスはなかった」とも書かれています。はて?不正アクセスがなかったのにTカード番号と性別・生年月日が漏れることはあるんでしょうか?実はこんな情報があります。
「空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機」
「ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか」
要するに、Tカード番号をネット上で晒している人が多々いるし、生年月日も特別に秘密のものではない。もちろん、性別も。ということは、ネット上の情報だけで「Tカード番号・性別・生年月日」の三種の神器が揃ってしまうのだ。揃えばどうなるかと言えば、先に書いた通り本人に知られることなくYahoo! JAPAN IDとの連携が出来てしまうわけである。
はい。事件のオチが見えましたね♪
投稿者プロフィール
最新の投稿
- お知らせ2024/10/02臨時休業のお知らせ
- 情報システム関連2024/08/07「中小企業の情報システム担当者不足をどう解決する?」ウェビナー動画公開
- お知らせ2024/07/29夏季休業のお知らせ
- お知らせ2024/07/16情報セキュリティメールマガジン7月号発行中止のお知らせ