ユニクロのセキュリティがヤバイ？

　ユニクロの新モデル下着を10万人にプレゼントするキャンペーンサイト 「UNIQLO 10万人トライアル」http://www.uniqlo-cool.com/　で、応募時に内部エラーがそのまま表示されるトラブルがあちこちで報告されています。エラーの内容はズバリ

PHP Error(USER): [DB Error] : message="DB Error: unknown error" info="INSERT INTO `M_user`(`regist_datetime`,`update_datetime`,`user_mailaddress`,`user_type`,`user_password`,`user_status`,`user_ua`,`user_device`)

VALUES(NOW(),NOW(),'********@gmail.com','NO','*********',1,'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1','PC'); [nativecode=1213 ** Deadlock found when trying to get lock; try restarting 

transaction]" in /home/prj/101/contents/private/lib/magicwork/DBO.php on line 227 

ありゃまあ。本当にすっぴんのPHPエラーメッセージです。エラーが発生したPHPファイルのフルパス、行番号、そしてなによりSQLクエリが丸見えです。そもそも DBへの INSERT でなんでデッドロックが起きてるんだというツッコミはさておき、Web画面上にエラーを表示する設定は、開発・テスト段階ではデバッグのためONにされるものの、運用中は絶対にOFFにしなくてはなりません。こうしたエラーが見えてしまうと、サーバ上の構成やシステムの設計が推測され、侵入されやるくなってしまうためです。

　ユニクロは 2010年に Twitter との連携企画「UNIQLO LUCKY LINE」で、Flashの動作に必要な内部データを公開ディレクトリに野ざらしにしたり、ユーザーの Twritter ユーザ名・パスワードを、Twritterのサーバで認証させる安全な方式(ほとんどのサイトで採用されているスタンダードな方法) ではなく、UNIQLO のサーバで管理し、しかもそれを暗号化もせず外部のサーバーに送信していた事実が明らかになり、ちょっとした騒ぎとなりました。

　いずれのセキュリティインシデントも極めて稚拙なものであり、ユニクロのセキュリティは相当やばいものと推測されます。同社のサービスを利用する際は、少なくともいつも使っているパスワードを登録するのはよしたほうが賢明かもしれません。

コメント 1

デバッグモードONはまずいですねw
by shige (2012-06-12 07:58)