ダイナ○ックのホテル予約システムは個人情報が漏れる欠陥が
どうも、僕です
先日、とあるホテルの予約をしようと思ってその宿のHPに行ったら、予約システムに個人情報が漏れる重大なセキュリティ欠陥を発見したよ
そのホテルは前からよく利用させてもらってるから、プチ衝撃だったよ
やばいよ
ウェブ系の開発エンジニアはこういうシステム設計にしちゃダメだよ
絶対だよ
約束だよ
会員のログイン方法に問題
それではまず、状況をご覧いただきたい
宿のHPから「予約する」ボタンを押す
ログインするために、登録済みのメールアドレスを入力
(会員登録自体は以前にやってある)
宿の予約詳細と登録時の本名が表示される
あとは、「予約する」ボタンを押すだけで予約は完了
めでたし、めでたし
・・・
・・
・
さて、
このシステムの問題がお分かりになっただろうか?
メールアドレスだけでログインできる
問題はメールアドレスだけでログインできてしまうこと
しかも登録していた本名が表示されてしまいます
いまどき他人のメールアドレスなんてのは簡単に入手できる品物です
ていうかメールを受信したら表示されてるしね
ネットを検索するだけで拾ってくることもできます
そんなメールアドレスを総当たりで入力したとしたらどうでしょうか?
もしもこの予約システムで以前に登録したことのある人のものだった場合、その人の本名がわかってしまうのです
メールアドレス一つで本名がバレる
なんて素敵なハッキングツールなんだろう♩
などと感心してる場合ではありません
クッキーを使って個人を特定してるわけでもない
「ひょっとして、一見メールアドレスだけでログインしてるように見せかけて、裏で何かユーザを特定する処理が動いてるのでは?」
とも考えてみました
クッキーを登録時に発行しておいて、それがログイン時にも有効かどうかを照合すれば、確かにそのメールアドレスは前回登録した人のものだと特定できるかもしれません
(ブラウザが登録時のものと変わっていたらNGだけど)
けど、念のためいつもは使わない別のブラウザで試してみましたが、やはりログインできてしまいました
どうやらただの思い違いだったようです
裏でそんな処理は動いてませんでした
ダイ○テックの予約システム「Dire○t In」
調べた結果このホテル予約システムは、ダイナ○ックという会社が開発してるサービスだということがわかりました
昔は「ホテル物語」と呼ばれるサイトで利用していたのを、一般向けのシステムに改修したサービスの模様
詳細はわからなかったんですが、多分「Di○ect In」というのが正式なサービス名なんだと思います
登録情報の確認にはパスワードが必要
「もしや、登録情報の照会もメールアドレスだけで行けるのか?」
と思ったら、そっちにはパスワードが要求される模様
頭隠して尻隠さず
この予約システム、ページ下部にこんな文言があります
こちらは、TLS/SSLによる暗号化通信に対応しています。 TLS/SSLによる暗号化通信を利用すれば第三者によるデータの盗用や改ざんを防止し、より安全にご利用いただくことが出来ます。 暗号化通信には、シマンテック・ウェブサイトセキュリティを使用しています。
いくらSSLで暗号化してても、こんなところで漏洩してたら意味がありません
利便性のために削除か?
ここからは想像になりますが、最初はログインにもパスワードが要求されてたのではないでしょうか?
少なくても、前回このホテルを利用した時はこんなシステムになってなかった気がします
パスワードを要求するシステムにはありがちな話なんですが、結構パスワードを忘れる人って多いんですよね
だいたいのウェブサイトにはパスワードを忘れた人向けの確認フォームがあるんですが、お年寄りとかネットに慣れてない人は、そこにメールアドレスを入力すること自体が困難だったりします
そういう人はコピペって概念がないから、手打ちでメールアドレスを入力するんですが、長ったらしいメールアドレスを老眼な人が入力するもんだから、正確なメールアドレスを入力するなんて相当難易度が高いんです
そうすると、ログインすることができず、何回か試しているうちに人によっては予約自体を諦めてしまう人も出てくると思います
予約を諦めるということは、ホテルを利用してくれるはずだった人をみすみす逃すわけで、ホテルからしたら売上減少に他なりません
そういった苦情やなんかが積み重なった挙句に、ついにログイン時だけはパスワードを要求しないようにしてしまったのではないでしょうか
その結果、このような個人情報ダダ漏れシステムが出来上がったのではないでしょうか
追伸
その後、念の為そのホテルの登録情報を変更しておきました
この予約システムを使ってるユーザの方は、本名をひらがなに変更する・偽名にすると言った対策をオススメします