Boothの同人音楽イベント「Apollo」のログインバグ問題(5) 情報漏洩被害者125人専用の補償申請フォーム作成!送信内容確認画面はURL直打ちすれば誰でも読めます
- dmnews_toho
- 7670
- 0
- 0
- 1
@soyomogi すみません。その「URLさえわかればログインしてなくても第三者から見られてしまう」メール送信履歴のページというのは、「125人専用のお問い合わせフォーム」のことなのでしょうか?
2014-12-06 14:25:06@soyomogi boothが用意している通常のお問い合わせフォーム booth.pm/support で送信した時も、「お問い合わせ内容は以下のURLからもご確認いただけます」とありますが、そのURLは今見たら送信内容は見えませんでした(以前どうあったかは不明
2014-12-06 14:27:03@dmnews_toho 送信内容は、今日の朝の時点では見られるようになっていました。もしユーザが口座番号を書いていた場合、それも見られるようになっていました。(今日の朝持点では)
2014-12-06 16:22:12
Boothからの返事
【12月6日 17時】 送信内容が公開状態になっていたフォームは現在は修正対応されたようです
話聞いたら、一応前の問い合わせフォームでも自分からバラすでも無い限りは余程じゃないと見れないらしいから安心しろと言われた まぁ問い合わせ多くて今回の形になったけど、そういう知識ない人からしたらこっちの方がいいよな…
2014-12-06 20:01:10セキュリティ面の不具合に対する対応なのだから、さらに細心の注意を払うのは当然 「pixiv側の都合でわざわざ専用フォームを作る」「面倒でもメールのみでやりとりをする」これらのどちらがより大きなリスクを抱えているか、日本一のイラスト投稿SNSがまさか判断できないはずあるまい
2014-12-06 16:38:53@soyomogi ご回答ありがとうございます。(1)情報漏洩該当者125人には booth.pm/support/pointb… とは違う、125人専用のフォームのURLが送られた。 (2)125人以外のCD購入者には booth.pm/support/pointb… が送られた
2014-12-06 16:49:19@soyomogi そよもぎさんがアクセスした「125人専用のフォーム」ではそれぞれ専用のURLが発行されるメールフォームだったけれど、そのURLが特定できれば誰でも問い合わせ内容を見ることができたのが今朝の状態。今は修正されたので大丈夫。 こうでしょうか?
2014-12-06 16:50:36
【12月5日】 個人情報漏洩被害者125人以外の人へ、ポイントバック用申請フォームを知らせるメールが送られていたらしい
APOLLOからお詫びメールが来たけど 「アルバム1枚分サービスします」←うれしい 「つきましては下BOOTHにログインした上で、下記申請フォームへアクセスしていただき・・・」←お、おう(ちょっと不安) 「なお、現在ポイントシステムは開発中のため」←ちょっと待て ってなってる。
2014-12-05 20:24:29APOLLOで個人情報漏洩後に買い物した人一作キャッシュバックの件の詳細メール来たけど(てか早いな)今後BOOTHで買い物できるポイントが購入相当額もらえるって事だったのか。現金でも返してくれるのかなとか思ってたけどそりゃ無理やって話だわな
2014-12-05 18:43:40Apolloが補償期間内にCDを買った人に対して補償に関するメールを送ったようですが、そのURL→ booth.pm/support/pointb… の文字列に「pointback」と入っていたことで初めてポイントバックでの補償だと気付いたという方もいるようです
2014-12-06 14:56:40Apollo・Boothの補償がポイントバックであるということは「気付いている人は気付いている」という状態だったように感じました。 togetter.com/li/752001 このようにまとめていましたが、今更ではありますが興味ある方は読んでみてください
2014-12-06 15:00:20Boothから補償対象者への連絡は今日メールで行ったようですが(私はCDを買っていなかったのでメール来ていません)、Boothのtwitterや公式サイトでの新しい通知は出ていない状態です。サークルさんへの通知がどうなっているのかも気になります。
2014-12-06 15:20:21