パスワードを忘れた? アカウント作成
1890736 story
プライバシ

PASMO、問題となった「マイページ」を一時停止へ 149

ストーリー by hylom
こうしてまた一つ、プライバシー的問題のあるサイトが潰えたのだった 部門より
あるAnonymous Coward 曰く、

先日高木先生の電凸で話題となったPASMOの「マイページ」だが、1日付けのNHKの報道によると、サービスを一時停止した模様だ。

この報道では具体的なサービス名までは上げられていないが、「カード番号や名前などの個人情報が他人に知られると、鉄道やバスを利用した日付や場所などの情報がインターネットを通じて他人に見られる」という内容的に、また2日現在マイページのログイン画面にアクセスすると「ただいまメンテナンス中です。」と表示されることから、この件とみて間違いないだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • それより (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2012年03月02日 13時20分 (#2110007)

    http://sorry.pasmo-mypage.jp/sorry.htm [pasmo-mypage.jp]
    なんだこのアドレスはw

  • よかったですね (スコア:4, おもしろおかしい)

    by kcg (26566) on 2012年03月02日 12時15分 (#2109901) ホームページ 日記

    無償で専門家に詳しい指摘をしていただけたおかげで、大きな問題が起きる前にサービスを停止する処置が施せてよかったですね。

    • by Anonymous Coward on 2012年03月02日 12時54分 (#2109968)

      こんなもん、他人が閲覧可能だけどまあいいやと思ってサービス提供してたに決まってるじゃないですか。
      何が起きるか分かってたから初めから停止センターなんてものを設置していたんでしょう。
      改めて有名っぽい人に言われたからヤバいと思って止めただけ、としか見えない。

      親コメント
      • いや、だから、たいした問題はないって思っていたままこの先もずっと放置し続けてしまうよりかは
        専門家に指摘してもらって改めて考えなおす機会が得られて、ヤバいと思うに至れてよかったですね、って事ですよ。
        このまま放置したままなにか大事件でもおきてしまったら、もっとダメージが大きかったかもしれないですからね。

        親コメント
      • by oyajismel (32045) on 2012年03月02日 13時13分 (#2109996) 日記
        そろそろさ、個人情報保護法違反で実刑の実例つくるべきだと思うんだ。
        実際いままで誰も、どの組織も処罰されてないから、個人情報保護法も、各社のプライバシーポリシーも
        ただの飾りになってる。

        >第3者提供に傾く。
        この時点で、記名pasmoを作るときに知らせてないから目的外利用。

        どっか見せしめに実刑与えないと、こういう事件亡くならないどころか増える気がする、
        親コメント
      • by Anonymous Coward on 2012年03月02日 13時19分 (#2110006)

        現場の技術者は何が起きるか分かってたから初めから停止センターなんてものを設置していたけど、
        改めて有名っぽい人に言われたからお偉いさんにもヤバいと判ってもらえた、だったりして。

        親コメント
  • SAPICA も停止 (スコア:3, 参考になる)

    by HODA (35015) on 2012年03月02日 13時25分 (#2110016) ホームページ 日記

    SAPICA [sapica.jp] も止まってますね。

    2012年3月1日
      利用履歴閲覧ページは、システム改修にともない停止いたします。

  • マイページのログイン画面はこちらのURLが正しいですね。今のところ結局そのSorry画面に飛ばされるのですが。
    https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

  • 「マイページ・PASMI 履歴照会サービス」の停止について
    http://www.pasmo.co.jp/news/press/2012/03/02/20120301_news.pdf [pasmo.co.jp]

    3. 今後の対応
      (3) マイページの再開については、システム環境調査の結果をふまえ、PASMO ホームページにてご案内いたします。
    --- 以上引用 ---

    システム環境調査ってなにを調べるんだろう。

    • by HODA (35015) on 2012年03月02日 16時11分 (#2110169) ホームページ 日記

      TOP からお知らせが消えて、上の pdf も無くなってしまった。
      せっかくなんで引用。

      ----- 以下引用 -----
      2012年3月2日
      PASMO協議会
      株式会社パスモ

      「マイページ・PASMO履歴照会サービス」
      の停止について

        PASMOホームページにおきまして、PASMOをお持ちのお客さまへのサービスとして、過去の残額履歴をお客さまに提供するためのサービス「マイページ・PASMO履歴照会サービス(以下、「マイページ」といいます。)」を提供してまいりましたが、システム環境調査のため「マイページ」のご利用を一時停止いたしましたので、お知らせいたします。
        PASMOをご利用のお客さまには多大なご心配とご迷惑をおかけすることを深くお詫び申し上げます。

      1.停止したサービス
      「マイページ・PASMO履歴照会サービス」(マイページ)
      PASMOホームページにて「記名PASMO」「PASMO定期券」の約3か月前までの残額履歴が全件ご覧いただけるサービス。

      2.停止日時
      2012年3月1日16時10分をもって停止いたしました。

      3.今後の対応
      (1)PASMOをご利用いただける駅の券売機やバス営業所等にお手持ちのPASMOをお持ちいただければ、引き続き直近20件の残額履歴を表示・印字することができます。

      (2)マイページ停止後も、現在のマイページ会員様に対し、当面の間、引き続き現在と同等の情報を提供するためのサービスを検討しております。
      詳細が決まりましたら、PASMOホームページにてご案内いたします。

      (3)マイページの再開については、システム環境調査の結果をふまえ、PASMOホームページにてご案内いたします。

      以上
      ----- 以上引用 -----

      親コメント
      • http://www.5pasmo.jp/apply.html
        の絡みかな?(邪推)

        利用履歴を駅で印字するか、マイページの仕様履歴をプリントアウト
        20件以上の履歴合計で金額に到達する人間はマイページじゃないと応募できないというw

        3/31の締め切りまでにシステム改修されるんだろうかw
        親コメント
    • みながこの件を忘れるまでの時間と、忘れたかどうかw

      このサービス自体も、停止サービスも問題だが、

      一番は、

      以前のパスワードもなしに、まったく同じIDで新しいパスワードでアカウントが上書き登録できてのっとり可能って。
      システム設計した人間は”パスワードが何のためにあるのかも考えなかったのか”

      さすがに作ったベンダーは晒して社会的に実刑与えていいと思う。

      クライアントがこんな馬鹿な設計するベンダーに依頼して金ドブに捨てないように。
      親コメント
    • by Anonymous Coward on 2012年03月02日 13時32分 (#2110025)

      > システム環境調査ってなにを調べるんだろう。

      『システム(を発注および運営する「PASMO協議会」および「株式会社パスモ」と言う)環境』の
      「掲げているプライバシーポリシーと、実際の(中の人達の)プライバシー認識と、実社会の関連法規」

      について調査するところから始めるといいと思うんですが…
      それを軽視すると、同じ過ちを何度でも繰り返せます。

      # 下っ端はそうでもないんだけど、
      # 上の方の人達は肝心な時に「自分の認識および判断も組織と言うシステムの一部」と言う意識が抜け落ちる。

      今度はnci氏 [srad.jp]やLucifel1999氏 [srad.jp]が
      「そんな瑣末な事を問題にするな」とクレームを入れてくれる展開を希望。
      本名が第三者に知られる時点で大問題…ってぐらい社会が信用出来ないみたいだから、

      親コメント
  • by uron (39597) on 2012年03月02日 12時40分 (#2109938)

    センセの日記を読んだところだと直ちに違法とはいえない第三者提供にpasmo側は転んだようだけど
    つまりpasmoはデータを取得するたびにIDと名前と電話番号とかからアカウントとパスワード作って(実質ただのアクセストークン)
    アクセスしてデータを取得するなんて言う意味不明なインタフェースで提供してたってことか。。。

    しかも途中で他人が同じIDのアカウント作り直してたら途中で失敗するという。

    いいわけにしてもアクロバティックすぎるだろー。
    何物語なんだこれは。

    --
    スルースキル:Lv2
    Keep It Simple, Stupid!
  • 「停止センター」って何だよw
    普通はデフォルトでは閉じておいてネットから使いたかったら、登録ページとか申し込みページとかを用意するのがスジだろ。
    今回の件 銀行口座で例えるなら 口座を開設したら、知らない間にネットから使えるようになってて、オマケに口座番号と名前だけ入力すれば 簡単に入れるようにしたみたいなもん。これって社内で誰もつっこまなかったの?
    --
    clausemitz
  • by Anonymous Coward on 2012年03月02日 12時36分 (#2109930)

    チャイナリスクやAppleの審査で拒絶されるリスクと同様、jbeefリスクも織り込むべきであろう。

    • Re:ネットサービスは (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2012年03月02日 13時24分 (#2110014)

      と言うか、産総研がjbeef Analyzer貸出サービス(有償)を始めるべき。

      親コメント
      • あったらクライアントには、ぜひ提案したいな。

        副作用でこちら(ベンダ)のシステム担当者が欝になりそうだけどwww
        親コメント
        • by deleted user (45276) on 2012年03月02日 17時52分 (#2110233)

          oyajismelさんはご自身でされたらいいですよ。

          高木先生のパフォーマンスって啓蒙も含まれているのと思うので、、
          高木先生のフォロワーとして身近な部分からでも突っ込んでいったらいいと思います。

          # 個人的な話だけれど、
          # 自分の周りですらきっちりセキュリティのポリシーから整備しようとすると本当にキツい。
          # このPASMOの話だって笑ってられん。

          親コメント
  • 前のパスワードがなくても新しいパスワードでアカウントを上書き登録できるようなシステム作ったとこだ。
    (何のためのパスワードだよ。パスワードなくてもかわらん)

    >サービスの安全性が十分かどうかを確認する必要がある
    実は「何の検証も改修もしないで安全だといいきってごまかす」(東電原発対応メソッド)
    で前のまま提供

    のが落ちだったりw
  • by deleted user (42768) on 2012年03月03日 11時36分 (#2110615)
    初期からのSuica使いなんですがある日端末でチャージしたら勝手にペンギン入りの新しいカード発行されたりして…えーって思ったことあるんだけど(もちろん番号も違う)

    PASMOはそういうことないのかな…
    というかSuicaで同じことを体験した人はどう思ってるんだろう

    # なんか記憶間違ってる?そんなこと有り得ない?
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...