10/04/05 02:02:09 CEFhXVRZ0
メッセサンオーの流出理由など(訂正あり:2010/4/4)
URLリンク(d.hatena.ne.jp)
* システムがザル
o URLにパスワードなどが含まれる仕様
* 設定がザル
o パーミッションが不適切で、顧客データを含んだcsvファイルが誰でもアクセス可能であった
o 管理者用ページが、外部からアクセスできるようになっていた
* 運用でミス
o Google ChromeまたはGoogle ツールバーにより、URLがGoogleに流出→クロールされた?(憶測)
通常は、管理システムのURLが知られたとしても、
* 社内からじゃないとアクセスできない設定になっている
* セッション情報にパスワードなんて含まない
ので問題ありません。システムの設計と、その設置方法がまずかったのが今回の騒動の原因と言えるでしょう。