Boothの同人音楽イベント「Apollo」のログインバグ問題(5) 情報漏洩被害者125人専用の補償申請フォーム作成!送信内容確認画面はURL直打ちすれば誰でも読めます

クレカの一部と本名・住所が意図せず第三者にも見える状態になっていたというApollo事件。 補償の仕方もまず自社での買い物を要求するトンデモ補償でした。 事件はまだ終わっていません! 今回は、個人情報漏洩被害者用の補償申請用のフォームもガバガバだったというニュースです。 続きを読む
0
前へ 1 2 次へ
東方アレンジ応援アカウント(休止中) @dmnews_toho

@soyomogi すみません。その「URLさえわかればログインしてなくても第三者から見られてしまう」メール送信履歴のページというのは、「125人専用のお問い合わせフォーム」のことなのでしょうか?

2014-12-06 14:25:06
東方アレンジ応援アカウント(休止中) @dmnews_toho

@soyomogi boothが用意している通常のお問い合わせフォーム booth.pm/support で送信した時も、「お問い合わせ内容は以下のURLからもご確認いただけます」とありますが、そのURLは今見たら送信内容は見えませんでした以前どうあったかは不明

2014-12-06 14:27:03
そよもぎ @soyomogi

@dmnews_toho 送信内容は、今日の朝の時点では見られるようになっていました。もしユーザが口座番号を書いていた場合、それも見られるようになっていました。(今日の朝持点では)

2014-12-06 16:22:12

 

Boothからの返事

そよもぎ @soyomogi

pic.twitter.com/xvJSswhj2W

2014-12-06 16:15:31
拡大

 

【12月6日 17時】 送信内容が公開状態になっていたフォームは現在は修正対応されたようです

そよもぎ @soyomogi

アクセストークンは64bitかもしれないけど、64bitだから絶対に大丈夫だとかいう言い方はそもそも物事が分かっていなさすぎる

2014-12-06 16:31:40
そよもぎ @soyomogi

問い合わせしたらこういう画面になりました。これで大丈夫そうです pic.twitter.com/jSGKFOx9CY

2014-12-06 16:38:47
拡大
そよもぎ @soyomogi

というわけで今朝ツイートした【拡散希望】のやつは、現段階では大丈夫になってます

2014-12-06 16:40:02
AON@夜中浮上 @AON44KABOCYA

話聞いたら、一応前の問い合わせフォームでも自分からバラすでも無い限りは余程じゃないと見れないらしいから安心しろと言われた まぁ問い合わせ多くて今回の形になったけど、そういう知識ない人からしたらこっちの方がいいよな…

2014-12-06 20:01:10
サノカモメ | kamome sano @kamomesano

セキュリティ面の不具合に対する対応なのだから、さらに細心の注意を払うのは当然 「pixiv側の都合でわざわざ専用フォームを作る」「面倒でもメールのみでやりとりをする」これらのどちらがより大きなリスクを抱えているか、日本一のイラスト投稿SNSがまさか判断できないはずあるまい

2014-12-06 16:38:53
サノカモメ | kamome sano @kamomesano

pixiv「個人情報を流出させてゴメン!個人情報を流出させます!」

2014-12-06 06:02:24
サノカモメ | kamome sano @kamomesano

いや~さすがだ!

2014-12-06 06:02:55
サノカモメ | kamome sano @kamomesano

3万ポッキリで情報流出をなかったことにできるらしいね

2014-12-06 16:12:19
サノカモメ | kamome sano @kamomesano

もっと言うと、お詫びのメールがHTMLメールなのも結構笑える

2014-12-06 16:44:07
東方アレンジ応援アカウント(休止中) @dmnews_toho

@soyomogi ご回答ありがとうございます。(1)情報漏洩該当者125人には booth.pm/support/pointb… とは違う、125人専用のフォームのURLが送られた。 (2)125人以外のCD購入者には booth.pm/support/pointb… が送られた

2014-12-06 16:49:19
東方アレンジ応援アカウント(休止中) @dmnews_toho

@soyomogi そよもぎさんがアクセスした「125人専用のフォーム」ではそれぞれ専用のURLが発行されるメールフォームだったけれど、そのURLが特定できれば誰でも問い合わせ内容を見ることができたのが今朝の状態。今は修正されたので大丈夫。 こうでしょうか?

2014-12-06 16:50:36
そよもぎ @soyomogi

@dmnews_toho あってます

2014-12-06 16:51:00

 
 
 

【12月5日】 個人情報漏洩被害者125人以外の人へ、ポイントバック用申請フォームを知らせるメールが送られていたらしい

SS@ @__S__S__

APOLLOからお詫びメールが来たけど 「アルバム1枚分サービスします」←うれしい 「つきましては下BOOTHにログインした上で、下記申請フォームへアクセスしていただき・・・」←お、おう(ちょっと不安) 「なお、現在ポイントシステムは開発中のため」←ちょっと待て ってなってる。

2014-12-05 20:24:29
ペソ @tabun_game_over

APOLLOで個人情報漏洩後に買い物した人一作キャッシュバックの件の詳細メール来たけど(てか早いな)今後BOOTHで買い物できるポイントが購入相当額もらえるって事だったのか。現金でも返してくれるのかなとか思ってたけどそりゃ無理やって話だわな

2014-12-05 18:43:40
東方アレンジ応援アカウント(休止中) @dmnews_toho

Apolloが補償期間内にCDを買った人に対して補償に関するメールを送ったようですが、そのURL→ booth.pm/support/pointb… の文字列に「pointback」と入っていたことで初めてポイントバックでの補償だと気付いたという方もいるようです

2014-12-06 14:56:40
東方アレンジ応援アカウント(休止中) @dmnews_toho

Apollo・Boothの補償がポイントバックであるということは「気付いている人は気付いている」という状態だったように感じました。 togetter.com/li/752001 このようにまとめていましたが、今更ではありますが興味ある方は読んでみてください

2014-12-06 15:00:20
東方アレンジ応援アカウント(休止中) @dmnews_toho

Boothから補償対象者への連絡は今日メールで行ったようですが(私はCDを買っていなかったのでメール来ていません)、Boothのtwitterや公式サイトでの新しい通知は出ていない状態です。サークルさんへの通知がどうなっているのかも気になります。

2014-12-06 15:20:21
APPO @appo_

ポイントシステム実装ということで、資金決済法周りの対応が注目されますね!!!!

2014-12-06 16:11:46
前へ 1 2 次へ

いま話題のタグ

鎌倉殿の13人427 宝石119 イジメ212 サイゼリヤ320 BeReal3 デザイン4747 AIイラスト257 鈴木亮平42 寿司471 ONE PIECE707 タヌキ108 アメコミ398 選挙2766 トップバリュ24 ガンダム2036