ハピタストラブルまとめ(3月~4月)

ポイントサイト見聞録441

なりすましに注意!!
3月初旬、ハピタスでは、第3者がユーザーになりすまして
不正にポイントを交換しようとした形跡があった模様です。

2名のユーザーから「身に覚えのないポイント交換手続きが行われている」との
連絡があり、『なりすまし』による不正操作が発覚したとのこと。

もちろん、『なりすまし』で不正に金品をせしめようと目論む者が最大悪ですが・・・

その被害の多くは、簡単に分かるパスワードを設定していたり
ネットカフェの様な不特定多数が触れるパソコンにログイン情報を残してしまったりと
管理者の管理の甘さで発生するケースが大半を占めているようです。

同じID・パスワードを使いまわしたり
誰でも特定できるパスワードを設定しないよう注意するだけで
『なりすまし』の被害に遭う可能性は大幅に下がります。

心当たりがある方で被害に遭いたくない方は
面倒でもパスワードを変更しておきましょう。

なお、今回の不正発覚を受けて、ハピタスではセキュリティ強化のため
ポイント交換および登録情報変更の手続きの際に
「秘密の質問」を入力する仕様に変更されています。

ページ上部の「メニュー」⇒「登録情報変更」から「秘密の質問」と「答え」、
「生年月日」を入力して、その後に届くメールURLをクリックするだけで
簡単に設定できるので、早目に設定しておきましょう。

ハピタスから残念なお知らせ
モバイル版ハピタスにて、相次いでセキュリティ上の問題が発覚。
一部ユーザーの「メールアドレス」とポイント交換履歴があった方の場合は
「振込先の口座名義」を他人に知られてしまった可能性がある模様です。

~以下、トラブルの概要~

【2013年3月20日】
携帯電話(フィーチャーフォン)宛てに配信したメールにおいて
文中のURLをクリックすると、他のユーザーの情報が表示されるという問題が発生。
69名の個人情報が、最大5,954名の方から閲覧できる状態だったとの事です。

問題発覚後、問題のあったURLを無効にした上で
対象となるユーザーのログイン状態を強制的に解除して
セッション情報の仕様を変更できるまで、モバイル版ハピタスのサイトを
一時的に利用できない状態にする処置を実施。

【2013年4月16日】
モバイル版サイトのサイト閲覧時のURLをウェブ上に公開してしまった場合
そのURLを他の方がクリックしてアクセスすると、他のアカウントとして
ログインできてしまう可能性があった事が発覚。詳しい被害状況は不明ですが
個人情報が第3者から閲覧できる状態だったとの事です。

セキュリティ上の脆弱性を根本的に解消するべく
セッション情報の仕様を変更できるまで、モバイル版ハピタスのサイトを
一時的に利用できない状態にする処置を実施。

~以下、トラブルの概要ここまで~

簡潔にまとめると・・・

①2013年3月20日にモバイル版ハピタスから携帯電話(フィーチャーフォン)へ
  配信されたメール文中のURLをクリックした方(69名)
②モバイル版サイトのサイト閲覧時のURLをウェブ上に公開した方

上記、2点の何れかに該当する方は、「アドレス」及び
ポイント交換履歴があった方の場合は「振込先の口座名義」を
第3者に知られた可能性があるということ。
(パスワード等、他の個人情報は洩れていない)

素早く不祥事を発表し、今後の対応や
進捗を報告する姿勢は評価できると思いますが・・・

こういう信用に関わる事は、しっかりやってもらわなきゃ困りますね。

私にとってハピタスは、お気に入りのサイトなので
今回の反省を生かして、より良いサイトに成長して欲しいと願うばかりです。

頑張れハピタス!!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です