■某Webサービスのセキュリティ脆弱性についてお知恵を借りたい

増田が利用したいと考えている某Webサービスでは次のようなユーザ登録フローとなっていた。

1. ユーザ登録すると英数字5桁のパスワードがメールで通知される
2. そのパスワードでログインする

以上である。

• 初回ログイン時に上記パスワードの変更を求める等の処理はない。このパスワードをずっと使える。
• パスワードリマインダを使った場合、さすがにこのパスワードをそのままメール送信してくるわけではない。新しい英数字5桁のパスワードが振り出されるわけだが、やはりこれもログイン後に変更を求められることなくずっと使える。
• パスワード変更は任意に行える。

私が懸念している点は、恒常的に使用可能なパスワードが平文でメール送信される点である。他にも桁数が極端に短いとかあるが、平文パスワード送信のインパクトがなんといっても強い。このWebサービスでは住所、氏名、TEL、メアド、その他特定を避けるため明記はしないがセンシティブな情報を扱っている。サービス自体は便利なものなのでぜひとも利用したいと考えていたのだが、現状では怖くて使えずせっかく登録したが退会も考えている状況である。

懸念点については当該サービスの問い合わせ電話窓口より伝えたが、予測はしていたものの、一般的な「ご意見ありがとうございます」に留まる対応であり、いつどこまで対応してもらえるかは定かではない。

そこでIPAの脆弱性情報届出（ https://www.ipa.go.jp/security/vuln/report/ ）より当サービスの脆弱性を届け出ようと思うのだが、正直増田はセキュリティの専門家ではないためこれが本当に届け出に値する脆弱性かどうかの確信がなく、はてなの有識者諸兄のお知恵を借りたいというのが本増田の主旨である。不足している情報があればご指摘いただけるとありがたい。

ちなみに決してマイナーなサービスではなく、名前だけならきっと多くの人が聞いたことのあるレベルの著名サービスだし、利用者も数十万単位でいるのではないか？

だからこそ過去誰も指摘してこなかったのかという点と、実は俺が大袈裟に考えてるだけで実はこれ、セーフなのかという疑念もあり、その意味でもご意見を頂戴できるとありがたい。

よろしくお願いいたします。

Permalink | 記事への反応(2) | 19:47

ツイートシェア