NurseAngelの日記: KINEZOは映画館の係員でもパスワードを覗ける 1
日記 by
NurseAngel
映画のチケット予約サイトKINEZOというのがあるのですが、ここパスワードが数字4桁だそうです。
さらにパスワードリマインダで平文パスワードがメールで届くということで、この時点で既にダブル役満です。
ですが、この程度すら生やさしい事象が発覚したようです。
KINEZOは映画館の係員でもパスワードを覗ける
受付の係員に事情を話して予約番号を伝えた所、慣れた様子で画面を操作し始めたので、まぁその場でサクッと発見されるだろうと安堵した。
ところがである。その後渡されたのは4桁の番号を書き記した紙片。
そして、横の発券機で予約番号とその番号を入力してくれと言うのである。
僕はその場では焦っていたので、余り深く考えずに言われた手順でチケットを発券し、頭を空っぽにして「翔んで埼玉」を観てきたのだが、帰宅して財布からポロッと落ちたその紙片を拾って血の気が引いた。
え…受付の係員がウェブサービスのログインパスワードを覗けるってこと…???
そして、恐る恐る僕の登録していたパスワードをパスワードマネージャーから確認すると、その紙片の数字と見事に一致していた…ホラーである…。
いやーこれ、キョードー東京を超える大問題だろ。
そして危機意識も全くない。
ウェブサービス用には英数記号のパスワードを、発券用には別の認証方法を採用する方向での改修を検討中である。
システム改修のリリースがいつになるかは答えられない。
現状は運用を見直すことは検討していない。
ブログには回避策みたいなものも提示されているけど、そもそも使わないのが一番確実だね。
秘密の質問は?秘密の質問は? (スコア:1)
わくわく