みずほ証券の web で 4,300人のパスワードなど個人情報流出の危機
みずほ証券のWeb
http://www.mizuho-sc.com/
製品・サービス・業界動向
業界動向
http://www.mizuho-sc.com/
のログインページ、
http://www.mizuho-sc.com/sw/html/tosen/index.html
のフレーム内で読み込まれる
http://www.mizuho-sc.com/sw/cgi/disp.cgi?tosen/template/header.html
で用いられているcgiは、? 以降で指定されたファイルを読み込んで表示するcgiであった。上記URLであれば、tosen/template/header.htmlというファイルが表示される仕組みである。しかし、本来閲覧許可してよいファイル以外までをも自由に読み込んで表示させることができた。例えば
http://www.mizuho-sc.com/sw/cgi/disp.cgi?../../../../../../../etc/passwd
という記述でパスワードファイルを読み込むことができた。なお、該当パスワードファイルを確認したところ、幸いなことにshadowパスワードが用いられていることがわかった。
ただし、ファイルを指定して何でも内容を見ることができるため、login.cgiをはじめ、cgiのソースの内容から(みずほ証券のサービスを受けている)ユーザ情報を引き出すことが可能だった。
ただし、「実際に見て」確認していないので、あくまでも「可能性」にとどまっている。
この問題について4/15 23:26にみずほ証券に連絡したところ、4/16 10:59頃からアクセスできなくなり、4/16 18:00に修正した旨報告を受けた。パスワードや個人情報を見られた可能性のあるユーザは4300人余りである。
http://www.kahoku.co.jp/news_s/20020416KIIAEA23510.htm
office
office@ukky.net
http://www.office.ac/
《ScanNetSecurity》
アクセスランキング
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
GROWI に複数の脆弱性
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
KELA、生成 AI セキュリティソリューション「AiFort」提供開始