05.02.06:17
[PR]
12.20.20:54
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」(ITmedia)
実際の状況はどうなのでしょうか?
「ネットで騒ぎ」となっているところと比べると、内容・状況についてかなり温度差があるようではありますが・・・
とにかく!
早めにきちんと対応を完了をさせて欲しいもの。
そうでないと安心して利用できないですからね!
■セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」(ITmedia)
応援のクリックお願いします(><)
「ネットで騒ぎ」となっているところと比べると、内容・状況についてかなり温度差があるようではありますが・・・
とにかく!
早めにきちんと対応を完了をさせて欲しいもの。
そうでないと安心して利用できないですからね!
■セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」(ITmedia)
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。
デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。
同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。
届け先などが書かれた注文履歴ページにアクセスする際に認証が求められず、URLさえ分かれば第三者も閲覧できるという問題も指摘されていた。同社は15日までに、認証なしではアクセスできないよう修正したという。
また12月14日ごろまで、セブンネットショッピングの前身・セブンアンドワイのユーザーの注文情報3件がGoogleなどで検索すると表示できる状態になっていた。閲覧できたのは「公開ブックマークなどにURLを登録していた3件」の注文情報の一部で、この問題にもすでに対処しているという。
応援のクリックお願いします(><)
PR
- トラックバックURLはこちら