開発者のマイケル・リンチ氏は、中古ストレージベンダーのgoHardDrive(GHD)にRMAを申請したところ、その過程で、同社が安全でないRMAステータス確認ポータルを通じて顧客情報を漏洩していることを偶然発見しました。彼のブログ記事によると、ghdwebapps.com/rmaでRMA番号(GHD00000形式)を入力することで、GHDのRMAステータスを確認できます。入力すると、氏名、住所、メールアドレス、電話番号、注文番号と注文日、返品対象製品、返品理由などの顧客情報が記載されたシートが表示されます。
フォームが非公開であれば、これらの情報はすべて問題になりません。しかし、有効なRMA番号は誰でも入力でき、ウェブサイトはRMAの所有者であることを認証することなく、これらの情報をすべて表示します。GHDは、これらのデータを表示するために、以下のURLも使用していました:https://ghdwebapps.com/rma/check? rmaNo= GHD12345 &fromButton=1。
そのため、GHDのRMA番号のあらゆる組み合わせをクロールし、顧客の詳細をまとめるスクリプトをほぼ誰でも簡単に作成できます。プログラミングの知識がなくても、AIを使ってRMA番号を作成する方法を知らなくても、ウェブサイトでRMA番号を入力するだけで、個人情報を手動でまとめることができます。
リンチ氏は漏洩を発見した際にGHD社にメールを送ったところ、GHD社は2時間以内に返信し、3~5営業日以内に問題を解決すると伝えました。GHD社はリンチ氏に状況報告をしませんでしたが(リンチ氏はその後、GHD社に連絡を取り、対応状況を確認する必要がありました)、顧客情報を盗み出すために郵便番号と番地という2つの項目を追加入力する必要がありました。一般ユーザーにとってはこれで十分と思われるかもしれませんが、根気強いハッカーにとっては、これはかなり簡単に盗み出せる情報です。
このため、GHDはRMAステータスページを完全に廃止することを決定し、顧客に対しステータスの更新をメールで問い合わせるよう求めています。リンチ氏は、このような脆弱性を発見した際に報奨金制度を設けているかどうかを尋ねましたが、残念ながらそのようなプログラムはないと回答されました。しかし、感謝の意を表し、330ドルの購入代金20ドルを返金するとのことでした。このような脆弱性を発見したバグ報奨金プログラムの報奨金は、数百ドルから数千ドルに及ぶことに留意してください。特に、この制度は、企業が数百万ドルにも上る罰金から逃れられる可能性を秘めているからです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ジョウィ・モラレスは、長年のテクノロジー業界での実務経験を持つテクノロジー愛好家です。2021年から複数のテクノロジー系出版物に寄稿しており、特にテクノロジー系ハードウェアとコンシューマーエレクトロニクスに興味を持っています。
