QUOIT Blog

パスワードの流出問題(2)

この記事は7年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。

以前、パスワードの流出問題という記事を書きました。
その時の記事は私の読み間違えでした(ホントすいません)が、
やっぱり事件はまた起こってしまいました。

例によって、何か間違いやツッコミあればコメントにてお願い致します。

TechCrunch Japan
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪

読んで頂ければわかりますが、このケースは本当にひどい。
事件を隠蔽しようとした行為もひどいですが、パスワードの管理は平文で、事件が発覚した後も対処を行なっていないというお粗末ぶり。
しかも原因は簡単なSQLインジェクション脆弱性とのこと。
10年以上も前から分かっていた問題で、知らないでは済まされません。

ここからは推測ですが…

何故このような実装にしていたのか?が問題だと思います。
可能性としては…

1)システム担当者の知識が浅かった
  →話になりませんが、可能性はゼロではない?
2)パスワードを平文で保存していたほうが楽だった
  →パスワードのリマインダーメールなどをそのまま送っていたようですから、この可能性は充分にあります。
3)初めから責任をとるつもりがなかった
  →トンデモな理論ですが、このサイトのプライバシーポリシーを見ると、その可能性も否めないのが怖いところ。

以下、TechCrunch Japanの記事より、プライバシーポリシーの一文です。

Once we receive your transmission of information, RockYou! makes commercially reasonable efforts to ensure the security of our systems.
However,please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.

重要な部分を太字にしました。
「頑張るけど盗まれたりしても僕の責任じゃないよ☆」って言ってます。
乱暴の言い方ですが、このプライバシーポリシーはひどい。

システムの設計はどうなっていたのか、プライバシーポリシーは何のためにあったのか、必ず明らかにするべきです。

こんな無責任なWEBを蔓延らせないために。

Comments are closed.