英通販会社のアプリに顧客情報流出の脆弱性、開発者に公表されて対応

英Moonpigの脆弱性を発見した開発者は、2013年に問題を報告したにもかかわらず修正されなかったため、情報の公開に踏み切ったとしている。

» 2015年01月07日 07時31分 公開
[鈴木聖子,ITmedia]

 英グリーティングカード販売大手サイトのMoonpigに顧客情報の流出につながりかねない脆弱性を発見したとして、開発者が1月5日、自身のブログで情報を公開した。Moonpigはこれを受けて対応に乗り出したことを明らかにした。

重大な脆弱性を指摘した研究者のWebサイト

 脆弱性情報を公開した開発者のポール・プライス氏によると、MoonpigのAndroidアプリからMoonpigに送信されるAPIリクエストに複数の認証問題があり、攻撃者が他の顧客になりすますことができてしまう恐れがある。他人のアカウントから注文を出したり、クレジットカード情報や住所、注文履歴などの情報を参照することも可能だとしている。

 プライス氏は2013年8月にこの問題を同社に報告したが、2014年9月になってもまだ修正されず、「クリスマスまでに」修正するという返事だった。しかし1月5日になってもまだ脆弱性が存在していたことから、「Moonpigにこの問題を修正させ、顧客のプライバシーを守らせるため」、情報の公開に踏み切ったという。

 「17カ月もあればこのような問題は修正できるはず。Moonpigにとって顧客のプライバシーは優先事項ではないらしい」とプライス氏は批判している。

 Moonpigは翌1月6日のTwitterで、「顧客情報に関する主張のことは認識している。全てのパスワードと決済情報はこれまでも現在も安全であると確認できる」と説明。続いて「調査を行う間、アプリは利用できなくなる」とツイートし、対応に乗り出したことを明らかにした。

Moonpigは指摘から17カ月で対応を表明した

関連キーワード

脆弱性 | 情報開示 | 情報流出 | Androidアプリ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ