Bye Bye Moore

PoCソルジャーな零細事業主が作業メモを残すブログ

某モバイルルータレンタル企業様に学ぶセキュリティバッドノウハウ

モバイルルータレンタル企業様がクレジットカード情報をご開帳してしまった件が話題になっております。参考
公表が発覚一ヵ月後だったりお詫びが3000円相当のポイントだったりと色々アレな対応が目立ちますが……運用もエンジニアとしては中々アレだったそうです。

とはいえ、私はセキュリティ周りはサッパリなので、
この話題の問題点とされる事についてを調べてみました。
間違ってたら教えていただけると幸いです。その際、石やトマホークの投擲はご遠慮ください。

クレジットカードのセキュリティコード

本人確認のために3~4桁の番号を入力しますが、アレがセキュリティコードです。
仮に名義人や番号がわかっても、これが分らなければ支払い処理ができないので安全! というわけです。
ところが……今回某社さんはコレを長期にわたって保存してたそうです。
なんでしょう、リストでも売る気だったんですかね(白目
業界では認証にしか使わない情報は下手に保存せず、さっさと破棄するのがデフォなようです。

robots.txtディレクトリ構造を推察できる情報を書いてる

robots.txtはクローラ型検索エンジンに対するメモ書きです。
ここにアクセスせんでくれといった内容が書かれています。
鯖に放り込むだけでいいので楽です。
見て欲しくないページもここに書いておけば、検索エンジンに引っかからない可能性が高いです。
見て欲しくないページは.htaccessか認証を使うものだと思っていましたが、こういうお手軽方法もあったのですね!
……冗談はともかく、このファイルは誰でもアクセスできるので下手な情報を書いているとディレクトリ構造を推測される恐れがあります。
今回の場合、admin関連のパスがモロに書かれていた等々書き方に大いに問題があったようです。

お詫び

初版では決済代行と書いていましたが、正しくはモバイルルータレンタルの会社でした。