2017年04月09日

【暫定対応済み】日産レンタカー、メールアドレスと氏名と電話番号があれば全個人情報にアクセスできる事が発覚!

レンタカーの予約ならいつも笑顔の日産レンタカー
何の変哲もない日産のレンタカーのページ


ところが、パスワードを忘れたときのページにアクセスすると…。
nis2

ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです

これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか?

nis1
パスワード生で表示!!

なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。

そして、このパスワードでアクセスすると?

nis3

▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ

問題点1. 電話番号とメアドと本名の読み方を知っていれば、運転免許番号、住所、生年月日、第二メールアドレス、第二電話番号、漢字の氏名・・・と言った全情報がゲットできてしまう!

問題点2.パスワードを簡単に平文表示できるということはハッシュで保存してない。最悪の場合、平文で保存している

これはひどいwwwww

ソース元 http://twitter.com/toeic990/status/850549983547760640
日産レンタカー怖い。メルアドと名前と電話番号でパスワード表示される。リセットしゃなくて、表示。
2017/4/8 12:24:53
https://t.co/s60u23zmDr


おまけ:

https://nissan-rentacar.com/login/registration_changes/leave_complete/
tk
退会確認画面。誰でも見えることが発覚(笑)


#一応、日産には通報済みなんですが、
SI業者によると当時の時点ではセキュリティが担保されているとの見解 (←当時でもおかしいと思う)
・7月のホームページのリニューアル予定があるので今からの変更はあんまり乗り気じゃない感じ? (←えっ、急ごうよ)
・パスワードの再発行画面だけでも使用不能にして、サポートで対応した方がいいとアドバイスしたのですが、ホームページがロックされていて変更できないという話(謎) (←えっ、急ごうよ2)
・後、パスワードを生で保存してる件について、全然問題だと思ってないみたいだった。 (←改めて指摘しておきました)
多分、また連絡が来る予定なので、何かあれば追記します。


ちなみにインターネット会員自体は15年前からある模様。
23ボーナスクラブは 2001年から存在します
パスワード再発行の画面は 2012年ごろまでさかのぼって確認できます
2004年2月には、パスワード再発行の仕組みが存在します

恐らく13年~15年、脆弱なまま放置・ω・


16:00 追記:

nis2
仮対策されましたが、リンク先が生きてるという手抜き。
意味ないでしょ…これ ・ω・

日産レンタカーの人、SIの業者にやらせてるって言ってたけど、そこ大丈夫なの…?
※ こっちも、日産レンタカーに電話で指摘済み

17:45 で対応された模様・ω・

ベネッセもでした



blackwingcat at 12:30│Comments(13)TrackBack(0) | |
このエントリーをはてなブックマークに追加
Twit/Chat/メッセ | Security

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by あの   2017年04月10日 15:34
問題点2.パスワードを簡単に平文表示できるということはハッシュで保存してない。最悪の場合、平文で保存している


暗号化して保存したものを平文にして出力してる可能性を何故かんがえられないのだろうか?
2. Posted by 黒翼猫   2017年04月10日 16:22
復号できる(平文に戻せる)のが問題。
普通はサーバーはハッシュデータしか持たないものです
マシな状態でも暗号化してサーバーにパスワードをまるごと保持している
最悪の場合は平文で保存しているという話。
3. Posted by とおりすがり   2017年04月10日 18:03
> 暗号化して保存したものを平文にして出力してる可能性を何故かんがえられないのだろうか?

こういう人がきっと設計などやってるんだろうな・・・。
完全に終わってる。

こんなドヤった感じで言ってるくらいだから、何が危険なのか未だに気づいてないだろうな。
4. Posted by 名も無き哲学者   2017年04月10日 18:45
最悪の実装だな
5. Posted by ドレミファ名無し   2017年04月10日 20:38
※1
こんなバカにわざわざ教えてあげるのも癪だが・・・

復号化できるものはパスワードの安全な保存方法ではない、
一方向のハッシュで、それも辞書攻撃で簡単に突破できないようにランダムなソルト付きでハッシュ化したものじゃないと無意味。
6. Posted by Gamehard774   2017年04月10日 21:07
この時代にセキュリティ知識が一切無い
Web開発者が居るとは・・・
素人以下で本気で怖い
7. Posted by    2017年04月11日 12:15
※1
君のような一般人が知らないのは仕方ない
だから無知なくせに専門領域で持論振りかざすのはもうやめよう
IT以外でも同じな
8. Posted by    2017年04月11日 14:50
やっちゃった、日産
挙動の結果を見る限り、リクエスト結果を
そのフォーマットに出しちゃったのね
しかも、手抜き対応・・・しかし、平文で出すとは・・・
普通は、シフト演算とランダム関数を噛ませて、
そこからさらにという手順でやっと出せるLvなのにな
この辺の計算をしなくてもいいという発想なのかね、その業者
9. Posted by     2017年04月11日 23:32
本文読んだ後に※1を見てもっと怖くなりました。
10. Posted by 黒翼猫   2017年04月12日 03:19
コメント直前のリンクから推測すると
多分Windows 10のダメ記事か共産党首のやっちゃったみて気分を害して、
全然関係ない記事にコメントかいたちゃった人だとおもうので怖くないよ・ω・
11. Posted by 名無し   2017年04月12日 21:20
1みたいな人が責任者だったりするので部下は従うしかない大手企業
12. Posted by せんしああああ   2017年04月13日 00:21
レンタカー屋なら物理的な事務所があるわけで、
新規登録やパスワード再登録は事務所でやればいいと思う。
13. Posted by 名無しのプログラマー   2017年04月16日 01:36
物理的な事務所でパスワード再登録や新規登録するようにしたらネットでやるよりお金(+時間)がかかりまんがな

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation