楽天メールマガジン情報漏洩の話・楽天の見解 | 水無月ばけらのえび日記
「楽天市場からのお知らせ (www.rakuten.co.jp)」に「【お知らせ】メルマガ登録情報画面からの個人情報の表示について (www.rakuten.co.jp)」というものが出ていますね。 調査した結果、弊社から『【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・配信停止について』というメールにて個別にご案内したメルマガ登録情報画面のURLをお客様ご自身がQ&Aサイトやブログに貼り付けたり、ソーシャルブックマーク等に登録してURLを公開した場合、当該URLが検索サイトのクロールの対象となり、検索サイトに登録されたことが原因であることが判明致しました。 今回の件は、当該URLの想定を超えた使途によるものでしたが、弊社と致しましても、早速、当該情報が検索サイトのクロールの対象とならないための対策等を実施するとともに、すでにクロールの対象となった情報についてはインターネット検索サ
楽天メールマガジン情報漏洩の話・さらに続き | 水無月ばけらのえび日記
多くの場合、セッション情報や認証情報を含むようなURLは一時的なものになっていて、一定時間経つとで使えなくなったりします。が、楽天のこれはそういう感じではなくて、無期限に使えるものだったようです。 この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。 Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。 以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429556 より
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
