解決済み
mineoマイページログアウト出来ない脆弱性
mineoマイページにログイン後
ログアウト操作を行い
ログアウトしましたの表示画面から
左上のmineoマイページリンクを
おすと認証無しでマイページが表示されます。
あっ。さん
レギュラーさんのコメント
退会済みメンバーさん
ビギナー
本件、ケイ・オプティコムとIPAへ報告したところ、3月30日に脆弱性の改修が完了したとの連絡がありました。
IPAの対応も完了し、ケイ・オプティコムも秘密にする意図はないようでしたので、こちらへ書き込みます。
スマートフォンやPCでchromeを使用していた場合、マイページのログアウトボタンを押しても、実際にはログアウトされませんでした。
chromeのウィンドウが1つでも残っていると、次にパソコンやスマホを使用した人に、以下の情報を見られている可能性があります。
・契約者氏名
・契約者住所
・電話番号(固定電話など)
・生年月日
・秘密の質問(設定した質問と答えが表示される)
・連絡用メールアドレス
・暗証番号(設定した4桁の数字が画面に表示される)
・mineoメールアドレス
・初期メールパスワード
・eoID
・初期eoIDパスワード(初期値) (パスワードの変更も可能?)
・利用番号と請求金額
・通話明細(データ専用なので中身はわかりませんが)
・プレゼントコード(Amazonギフト券のコードなど)
「次にパソコンやスマホを使用した人」がいない場合や、家族なので上記情報を見られても問題ない場合などは、特段気にする必要はありません。秘密の質問と答えが恥ずかしいくらいです。
ただ、暗証番号をキャッシュカードやクレジットカード、端末の暗証番号と共通にしている場合、同居の家族でも見られるとまずい場合もあるでしょう。
必要であれば、すべての暗証番号を変更してしまった方がよいと思います。
メールやeoIDを初期パスワードで使用している場合も、パスワードを変更してしまった方がよいでしょう。
心配な方は、秘密の質問も変更してしまいましょう。
「本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です」とのことですので、本件を把握することで「本件事象を起因」とする何らかの問題が発生していないことをご確認ください。
また、何よりも「本件事象を起因として何らかの問題が発生」しないよう、必要な方は暗証番号やパスワード等を変更してください。
IPA(独立行政法人情報処理推進機構)へは、以下のページの「ウェブアプリケーション脆弱性関連情報」として届け出ています。
https://www.ipa.go.jp/security/vuln/report/
───────────────────────────────────────────────────────
○○さま
K-OPT CSIRT PoCを担当しております△△と申します。
平素より弊社サービスをご利用いただきありがとうございます。
また、今回は弊社Webの脆弱性についてご連絡いただき深く感謝申し上げます。
今回、○○さまからご指摘いただいた脆弱性に関する対応状況につきましてご報告させていただきます。
■脆弱性の改修状況
3月30日にWebの改修を完了しました。
■IPAへの報告
3月30日時点でWebの改修が完了している旨を本日4月2日に報告しました。
以下、○○さまからCSIRT宛にいただきましたお問合せに対して回答させていただきます。
■連絡先について
弊社ではプログラムやWebの脆弱性に関する専用のお客さま窓口は設けていないため、お客さまサポートセンターの電話やメール等が通常のお客さま窓口となります。
なお、私どもCSIRTは社内におけるインシデントハンドリングに加えて、他社のCSIRT組織や業界団体との連絡窓口としての役割を担っております。
■初動体制の構築について
今回、○○さまから最初にお問い合わせを頂きました窓口で間違っておりませんでしたが、弊社内でのCSIRTへのエスカレーションが遅れて、○○さまにIPAに申請していただくようなお手間をかけてしまい誠に申し訳ございませんでした。今後は初動が遅れることのないよう、エスカレーション体制を徹底させました。
■お客さまへの周知について
現在、お客さま全体への周知は予定しておりません。
ただし、本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です。
今後とも弊社サービスをご愛顧いただきますようよろしくお願い申し上げます。
ありがとうござました。
───────────────────────────────────────────────────────
IPAの対応も完了し、ケイ・オプティコムも秘密にする意図はないようでしたので、こちらへ書き込みます。
スマートフォンやPCでchromeを使用していた場合、マイページのログアウトボタンを押しても、実際にはログアウトされませんでした。
chromeのウィンドウが1つでも残っていると、次にパソコンやスマホを使用した人に、以下の情報を見られている可能性があります。
・契約者氏名
・契約者住所
・電話番号(固定電話など)
・生年月日
・秘密の質問(設定した質問と答えが表示される)
・連絡用メールアドレス
・暗証番号(設定した4桁の数字が画面に表示される)
・mineoメールアドレス
・初期メールパスワード
・eoID
・初期eoIDパスワード(初期値) (パスワードの変更も可能?)
・利用番号と請求金額
・通話明細(データ専用なので中身はわかりませんが)
・プレゼントコード(Amazonギフト券のコードなど)
「次にパソコンやスマホを使用した人」がいない場合や、家族なので上記情報を見られても問題ない場合などは、特段気にする必要はありません。秘密の質問と答えが恥ずかしいくらいです。
ただ、暗証番号をキャッシュカードやクレジットカード、端末の暗証番号と共通にしている場合、同居の家族でも見られるとまずい場合もあるでしょう。
必要であれば、すべての暗証番号を変更してしまった方がよいと思います。
メールやeoIDを初期パスワードで使用している場合も、パスワードを変更してしまった方がよいでしょう。
心配な方は、秘密の質問も変更してしまいましょう。
「本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です」とのことですので、本件を把握することで「本件事象を起因」とする何らかの問題が発生していないことをご確認ください。
また、何よりも「本件事象を起因として何らかの問題が発生」しないよう、必要な方は暗証番号やパスワード等を変更してください。
IPA(独立行政法人情報処理推進機構)へは、以下のページの「ウェブアプリケーション脆弱性関連情報」として届け出ています。
https://www.ipa.go.jp/security/vuln/report/
───────────────────────────────────────────────────────
○○さま
K-OPT CSIRT PoCを担当しております△△と申します。
平素より弊社サービスをご利用いただきありがとうございます。
また、今回は弊社Webの脆弱性についてご連絡いただき深く感謝申し上げます。
今回、○○さまからご指摘いただいた脆弱性に関する対応状況につきましてご報告させていただきます。
■脆弱性の改修状況
3月30日にWebの改修を完了しました。
■IPAへの報告
3月30日時点でWebの改修が完了している旨を本日4月2日に報告しました。
以下、○○さまからCSIRT宛にいただきましたお問合せに対して回答させていただきます。
■連絡先について
弊社ではプログラムやWebの脆弱性に関する専用のお客さま窓口は設けていないため、お客さまサポートセンターの電話やメール等が通常のお客さま窓口となります。
なお、私どもCSIRTは社内におけるインシデントハンドリングに加えて、他社のCSIRT組織や業界団体との連絡窓口としての役割を担っております。
■初動体制の構築について
今回、○○さまから最初にお問い合わせを頂きました窓口で間違っておりませんでしたが、弊社内でのCSIRTへのエスカレーションが遅れて、○○さまにIPAに申請していただくようなお手間をかけてしまい誠に申し訳ございませんでした。今後は初動が遅れることのないよう、エスカレーション体制を徹底させました。
■お客さまへの周知について
現在、お客さま全体への周知は予定しておりません。
ただし、本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です。
今後とも弊社サービスをご愛顧いただきますようよろしくお願い申し上げます。
ありがとうござました。
───────────────────────────────────────────────────────
- 12