便乗ネタです。
JINSというメガネ屋さんのネットショップでユーザの入力したカード情報がJINS以外の外部サーバに送信され、流出した可能性があるとのこと。
ありがちな話ですが、記事を読むと多々疑問があったので、書いておきます。
「同社によると、異常に気付いたのは3月14日19時58分。クレジットカード情報を入力するためにWebサイトに用意されている入力フォームが改ざんさ れ、ユーザーが入力した情報が外部のデータベースに送信されてしまう状態となっていた。これを踏まえ同日23時6分、Webサイトを停止し、調査を開始し たという。実際に何件の情報が外部に送信されたか(あるいはされていないか)、送信先サーバはどこかといった情報については、ログなどを基に引き続き調査中。」
まず、「ユーザーが入力した情報が外部のデータベースに送信されてしまう状態となっていた。」の意味が分かりません。「外部のデータベース」ではなく「外部のサーバ」ですよね。
次に「送信先サーバはどこかといった情報については」と「ユーザーが入力した情報が外部のデータベースに送信されてしまう状態と」が矛盾しています。改ざんされて外部に送信されていたといえるのであれば、「外部」がどこかは分かるはずです。
「この2月6日から3月14日までの間に、JINS ONLINE SHOPでクレジットカード決済で購入した顧客の情報、1万2036件が流出した可能性がある。」
2003年2月6日にサーバを移転したらしいのですが、1.5ヶ月でサーバをハックされ、プログラムを改ざんされるとは私の経験上考えづらいです。もし、このサーバがrootユーザでパスワード無しで全IPからアクセス可能な状態であったとすれば可能ですが、それはサーバ管理者のミスであり、不正アクセスに問えるのかどうか疑問です(ありえないと思いますが、、)
ここからは推測ですが、「改ざん」されたのではなく、「購入データ」の管理画面or購入リストが何の制限も無く、アクセス可能な状態になっていることに管理者が気づき、今までのアクセスログを見ていたら、自分の知らないIPアドレスからアクセスされていたので、困って上司に報告したと感じゃないですかね。「外部」といっておきながら、それを特定できないというのは、自分たちの不手際を「外部」のハッカーというなんか訳の分からない第3者になすりつけているだけであり、逆にもし本当にそうであると言えるのであれば完全な刑事事件なので、JINSが被害届を提出するべきでしょう。
いずれにせよ、自分たちの起こした不手際で消費者のネットショッピングへの不安を煽るのは止めてほしいものです。JINSには今回の情報漏えいの明確な説明を求めたいものです。
本当はどうでもいいんですけど、偉そうに書いてみたかったので。。