ZuttoRide Club は平文パスワード?

ZuttoRide Club (my819.jp)の盗難保険の更新処理で完了メールが届かなかったのでサポートに電話をしたのですが、そのやりとりの中でメールアドレスの変更処理を行いました。

メールアドレス変更のページではメールアドレスと現在のパスワードを入力するのですが、正しいパスワードを入力しているにもかかわらず「パスワードが違います」と表示されてしまいます。

「あれ、正しく入力しているのにできませんよ」と言うと、「パスワードはアルファベットの○から始まって△で終わるものを入力していますよね」と言われました。

メールが届かなかった件については後ほど復旧したのですが、そのサポートの対応からここのシステムがパスワードを平文または復号可能な暗号化処理によって保存していることが分かります。

百歩譲って復号可能な暗号化処理だとしても、サポートの人間であれば持ち出すことができるということですし、もしも平文だとしたら漏えいした場合のダメージは甚大です。

いまどき平文(もしくは復号可能な暗号化処理)でパスワードを保存するシステムなんてあるんだとビックリしてググってみると、世の中にはそういうサイトが沢山あるみたいですね。さらにビックリです。

自分が15年以上前に作ったサイトだってパスワードはmd5で作成したハッシュ値を保存していましたよ。

というわけでZuttoRide Clubのパスワードは速攻で変えました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください