夕方ごろに、こんな感じの話が職場でも話題になった。
【速報】お名前.COM が名前とIDを大量に誤送信 パスワード漏洩の心配も!
自分のアカウントは大丈夫かなーと思って軽い気持ちで調べてたら、どうもお名前.comはユーザーのパスワードを平文で保存していることがわかった。パスワードを忘れた時のフローを踏むと、平文でパスワードがブラウザ上に表示されたから。それも、会員IDと秘密の質問、という2つのキーだけで。秘密の質問は推察するしかないとしても、会員IDは連番で、他の人のものを適当に推察できる状態だった。
もっと悪いことに、会員IDを忘れた場合、というフローもあった。なにをするかというと、契約しているドメインを入力すると、秘密の質問だけで会員IDを教えてくれる(もちろん、秘密の質問はパスワードの時のものと同じ)。そればかりではなく、ドメインを入力しただけ(だけ!)で、登録者のメールアドレスの、@よりも先の部分が公開される。加えて、@より後ろは、で表示されているのだが、実際のメールアドレスの文字数と等しい。つまり、9文字であればほぼ間違いなく***はgmail.comということ。
ドメインは公開情報で、自分のこのブログのドメインも、だれでも知れる。それをお名前.comのサイトに打ち込むだけで、俺のメアドが判明してしまう。これはないだろいくらなんでも、ということで、お名前.comからドメインを移管しなきゃいけないと決心した。
ちなみに、会社のチャットでお祭りになってる間にその問題は修正されたらしく、現在はメアドを覗き見たり、秘密の質問だけでパスワードを突破できたりはしないようになっているらしい。ただどちらにせよ、IDが連番であったり、パスワードを平文で保存しているという根本的な部分は変わらない。
お名前.comはGMOの参加のサービスだが、他のGMOサービスも同じような問題を抱えている気がして、GMOに対する警戒感が一気に跳ね上がってしまった。