カナダのパスポート申請情報、単純なURL書き換えで丸見えに

ヤマガタさんとこ経由、ITmedia Newsから

カナダのパスポート申請情報、単純なURL書き換えで丸見えに

オンタリオ州ハンツビルにあるAlgonquin AutomotiveのITスタッフ、ジェイミー・ラニング氏は11月29日にeWEEKに、米国への旅行のためにオンラインでパスポートを申請していたときに、Passport Canadaのオンライン登録プロセス中にURLを書き換えると、直前にオンライン申請した人の申請情報を見られることに気づいたと語った。

 ラニング氏はブラウザのURLのうち1文字を「M」から「L」に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。

http://www.itmedia.co.jp/news/articles/0712/06/news106.html

またまた、パラメータ書き換えによる、今度は個人情報漏えいですね。やはり、hiddenフィールドの「改ざん」(POSTではなくてGETですが)による価格詐称と本質的には同じ問題です。

しかし、こう立て続けに報道されると、

「幻の魚イトウ」級ではなくて、アユくらいの珍しさ

に思えてきますね。

「Passport Canadaのサイトのただし書きを読んだが、ハイテクセキュリティを使っていることになっている」とマースデンさんは同紙の取材に応えて語った。「(個人情報の漏えいが)そんなに容易に起きるなんて誰も思わないだろう」

きっと、ハイテクセキュリティ使っているのでしょう。でも、バランスよく、全体を堅牢にしないといけないということで。