パスワードの流出問題(2)
以前、パスワードの流出問題という記事を書きました。
その時の記事は私の読み間違えでした(ホントすいません)が、
やっぱり事件はまた起こってしまいました。
例によって、何か間違いやツッコミあればコメントにてお願い致します。
TechCrunch Japan
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪
読んで頂ければわかりますが、このケースは本当にひどい。
事件を隠蔽しようとした行為もひどいですが、パスワードの管理は平文で、事件が発覚した後も対処を行なっていないというお粗末ぶり。
しかも原因は簡単なSQLインジェクション脆弱性とのこと。
10年以上も前から分かっていた問題で、知らないでは済まされません。
ここからは推測ですが…
何故このような実装にしていたのか?が問題だと思います。
可能性としては…
1)システム担当者の知識が浅かった
→話になりませんが、可能性はゼロではない?
2)パスワードを平文で保存していたほうが楽だった
→パスワードのリマインダーメールなどをそのまま送っていたようですから、この可能性は充分にあります。
3)初めから責任をとるつもりがなかった
→トンデモな理論ですが、このサイトのプライバシーポリシーを見ると、その可能性も否めないのが怖いところ。
以下、TechCrunch Japanの記事より、プライバシーポリシーの一文です。
Once we receive your transmission of information, RockYou! makes commercially reasonable efforts to ensure the security of our systems.
However,please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.
重要な部分を太字にしました。
「頑張るけど盗まれたりしても僕の責任じゃないよ☆」って言ってます。
乱暴の言い方ですが、このプライバシーポリシーはひどい。
システムの設計はどうなっていたのか、プライバシーポリシーは何のためにあったのか、必ず明らかにするべきです。
こんな無責任なWEBを蔓延らせないために。