« 明日はマイクロソフト製品パッチ当ての日 | Main | マクドナルド、メガマックのレギュラーメニュー化とメガマフィンを発表 »

2008.03.13

Amazon.co.jpの「ほしい物リスト」にセキュリティ欠陥

Amazon.co.jpの「ほしい物リスト」から個人名や住所が漏れるという問題が発覚しました。
これはセキュリティ欠陥と呼んでよいレベルでしょう。

マズいところとしては、

  • ほしい物リストの公開・非公開の初期値が「公開」になっていて無意識のうちに公開されている
  • 各利用者のほしい物リストが検索できた
  • ほしい物リストの検索にワイルドカードが使用できた
  • 携帯オンリーの人はほしい物リストを非公開に設定できない(=PCでしか変更できない)
  • ほしい物リストのメール送信URLにCSRF脆弱性があり、ほしい物リスト公開の有無に関わらず、任意のメールアドレスにAmazon.co.jp登録の名前、メールアドレスを送信するリンクを作成可能

さすがにこれだけミスが積み重なるとヤバいと判断したのか、2008/03/12 21:00時点ではほしい物リストの検索機能、ほしい物リストのメール送信URLを停止しているようです。
ただ、googleから検索したほしい物リストはまだ生きているようですから、中途半端なサービス停止、と言わざるを得ませんね。
現時点での対策ですが、

  • アカウント名の変更 → アドレス帳の住所だけ正式の氏名を入れる
  • アカウント用メールアドレスの変更
  • ほしい物リストの非公開化
  • ほしい物リストのお届け先にダミー住所を追加・設定
  • ダミー住所設定後に「お届け先を指定しない」に変更
  • ほしい物リストのメールアドレスを空欄に変更

ほしい物リストを消していいなら、「ほしい物リスト」→「Wishlist」→「リストを管理する」→「このリストを削除」でリストが消えます。
ただし、新規作成したほしい物リストはデフォルト公開ですから、ほしい物リストを継続して使いたい場合は、非公開化の作業を行い、そのまま残しておいた方が無難かもしれません。

デフォルト値が非公開、かつメール送信URLにほしい物リストの公開チェック処理が入っていれば被害は防げたかもしれないだけにかなり残念ですね。
デフォルトセキュアはWebアプリケーションに限らず重要な要素ですが、アプリ屋としては他山の石としたいところです。

Doublet_20080312 今日の夕飯:だぶれっと ハンバーグ + 半ライス

|

« 明日はマイクロソフト製品パッチ当ての日 | Main | マクドナルド、メガマックのレギュラーメニュー化とメガマフィンを発表 »

Comments

うちは以前気づいたときに非公開にしていたので、そんなに問題はなかったです。
メールアドレスの方はもともとスパム9割なのであんまり心配してないですが(笑)

ただ、いろんな条件で検索されまくってるのとgoogleで検索できている、ということで二次被害がでている、というのがちょっと厄介ですね。

Posted by: daishi | 2008.03.13 at 22:44

私もさきほど知って非公開にしてきました。。
検索はできなくしているようでしたが、もれて
しまっていると思われるメールアドレスが
スパムに悪用されないことを祈るばかりですね。

Posted by: ゆうちゃん | 2008.03.13 at 02:38

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/40477795

Listed below are links to weblogs that reference Amazon.co.jpの「ほしい物リスト」にセキュリティ欠陥:

« 明日はマイクロソフト製品パッチ当ての日 | Main | マクドナルド、メガマックのレギュラーメニュー化とメガマフィンを発表 »