三菱マテリアルがファイル丸出しで顧客情報漏洩
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
一昨年多発したファイル丸出しが原因の顧客情報漏洩事故(ストーリ1、ストーリ2)と同様のケースが久々に発生した。日経IT Proの記事によると、三菱マテリアル社の純銀粘土を販売するウェブサイトに送信された注文情報が、「階層の深い,あるURL」(同社広報IR室の表現)を指定することで閲覧可能になっていたとされている。実際には /cgi/ のディレクトリ以下がすべて丸出しになっていたため、階層の深いURLへはリンクを辿って閲覧できた。同社の発表「純銀粘土のネット販売における顧客情報流出のお詫び」によると、純銀粘土に限定されたものであり、純金積立やジュエリー、純金カードなど他の事業の顧客・会員情報は含まれておりません。とされている。しかし、現在も稼動中である純金カードのお問い合わせ・カタログ請求の画面の送信先は、/cgi/demand/demand.cgi という場所になっており、ここは既に削除されている。ここの /cgi/demand/ も丸出しだったことが2ちゃんねるで指摘(dat落ちのため読めない)されており、純金カードの請求者情報が本当に漏れていないのか疑問である。