モバイル版はてな「かんたんログイン」の脆弱性を修正しました
モバイル版はてな「かんたんログイン」の脆弱性を修正しました
10/21にポケットはてな「かんたんログイン」のリニューアルを行いましたが、その際に脆弱性がありましたため、本日、修正いたしました。脆弱性の内容およびその影響範囲につきましては、下記のとおりです。
脆弱性の内容
10/21にかんたんログインの改修の際、ログイン処理があった端末から個体識別番号を取得し、データベースに保存する処理が変更をいたしました。この際、個体識別番号が送信された場合には番号を正しく保存しておりましたが、送信されなかった際の処理に不備がありました。
個体識別番号が送信されない設定の携帯端末を用いてモバイルログインURL (http://www.hatena.ne.jp/mobile/login) からログインした場合、データベースに不正な値が入力されていました。この際、同様に個体識別番号が送信されない端末を用いた他のユーザがかんたんログインURL (http://www.hatena.ne.jp/mobile/easylogin) からログインした場合、先にログインした他ユーザーのアカウントで一時的にログイン状態になることがありました。現在はこの不具合は修正されています。
影響範囲
この不具合の対象には、以下の2つの場合があり、それぞれ対象期間が違っております。
1. 個体識別番号を送信しない設定をされている場合
本体の設定を変更し、個体識別番号を送信しない設定をされている場合はこの不具合の対象に該当する可能性があります。
この不具合は、21日12時から23日13時まで発生していました。
2. docomo端末からのアクセスで、末尾にguid=onが含まれていないログインURLを使った場合
docomo端末では、個体識別番号を送信するためにURLの末尾に特定の文字列(guid=on)を設定する必要があります。このため、改修前のかんたんログインのURLを画面メモなどで端末に保存されている等、guid=onが含まれていないログインURLからアクセスされた場合には、個体識別番号が送信されず、前述の1の場合と同様の問題が起きておりました。
ログインURLの末尾にguid=onがないURLよりアクセスがあった場合には、guid=onを付与する処理を行う必要がございましたが、この処理が入っておりませんでした。
こちらの不具合は、21日の13時から17時45分まで発生しており、この間にguid=onが含まれていないログインURLからかんたんログインにアクセスされていた方は不具合の対象となっている可能性があります。
本不具合の対象者の方へ
この脆弱性による影響として、同時にアクセスした他ユーザーと同一のモバイルIDが割り振られますため、一時的に他ユーザーのアカウントでログインが行われた状態となっておりました。
ただし、この状態は、通常1分未満の短時間で解除されログアウト状態となりますので、なりすましなどの可能性は非常に低く、現在のところ被害は確認されておりません。
もし、万が一不審な点がおありの場合には、お問い合わせフォームよりお知らせいただきますようお願い申し上げます。
このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけし大変申し訳ございませんでした。
また、ご報告をいただきましたユーザー様、ありがとうございました。
追記(2009.10.26)
本件につきまして、 ソフトバンク端末からのアクセス(iPhone, スマートフォン、フルブラウザからのアクセスは除きます)で、端末製造番号通知がオフ、ユーザID通知がオンの場合に限り、不具合が継続しておりましたが、10/25午前0時に修正が完了いたしております。
該当のユーザー様にはご迷惑をおかけし申し訳ございませんでした。
