英Moonpigの脆弱性を発見した開発者は、2013年に問題を報告したにもかかわらず修正されなかったため、情報の公開に踏み切ったとしている。
英グリーティングカード販売大手サイトのMoonpigに顧客情報の流出につながりかねない脆弱性を発見したとして、開発者が1月5日、自身のブログで情報を公開した。Moonpigはこれを受けて対応に乗り出したことを明らかにした。
脆弱性情報を公開した開発者のポール・プライス氏によると、MoonpigのAndroidアプリからMoonpigに送信されるAPIリクエストに複数の認証問題があり、攻撃者が他の顧客になりすますことができてしまう恐れがある。他人のアカウントから注文を出したり、クレジットカード情報や住所、注文履歴などの情報を参照することも可能だとしている。
プライス氏は2013年8月にこの問題を同社に報告したが、2014年9月になってもまだ修正されず、「クリスマスまでに」修正するという返事だった。しかし1月5日になってもまだ脆弱性が存在していたことから、「Moonpigにこの問題を修正させ、顧客のプライバシーを守らせるため」、情報の公開に踏み切ったという。
「17カ月もあればこのような問題は修正できるはず。Moonpigにとって顧客のプライバシーは優先事項ではないらしい」とプライス氏は批判している。
Moonpigは翌1月6日のTwitterで、「顧客情報に関する主張のことは認識している。全てのパスワードと決済情報はこれまでも現在も安全であると確認できる」と説明。続いて「調査を行う間、アプリは利用できなくなる」とツイートし、対応に乗り出したことを明らかにした。
Copyright © ITmedia, Inc. All Rights Reserved.