また図書館か……

http://togetter.com/li/65667

「システム更新に伴い、すべてのかたのパスワードが生年月日(和暦6桁)に初期化されています。」

ありえないほど杜撰な対応だな.

暗証番号に生年月日を使うだけでも「コレはヒドイ」レベルなんだが*1,図書館だとその事実が公開されてしまうのでさらに困る.*2

今回もまた三菱電機インフォメーションシステムズ(MDIS)って出てるけど,このレベルの失態が連発するって本当なら会社が潰れるレベル.

http://b.hatena.ne.jp/entry/togetter.com/li/65667

  • id:accent_32 システム屋が必ずしも悪じゃないかもよ。要件定義で、「誕生日は危険です!」って伝えてもお役所仕事な決定でこうなった可能性も否定出来ないよ。
  • id:TakamoriTarou コンピュータの知識とか言う以前に今銀行とかで普通に暗証番号を生年月日等推測しやすいので設定してはいけませんとか盛んに言われるわけで…。なんじゃこりゃ。もしや扱っているのが個人情報だって意識がない?
  • id:hatake メーカ「パスワードはクリアされちゃうんで、誕生日でいいっすかw」図書館「あー、別になんでもいいっすよw」/こんな感じ?

しかしいずれにせよ,これにOK出しちゃいかんだろ.OKしたら業者のスキルと倫理感を疑われる.

  • id:nakex1 どんな本を読んでいるか,延滞履歴はどうなっているかなどが見えてしまうとしたら結構重大なプライバシー問題だと思う
  • id:sfken やり方はひどいと思いつつ、課金が発生しない図書館のアカウントは乗っ取られたところで別にリスクはないんじゃないか?

上にも出てるけど,個人情報漏洩とかプライバシー侵害の可能性はありますよ.

  • id:nippondanji 香しすぎる。サイトのURLが.aspというだけで色眼鏡で見てしまう俺様が通りますよ。
  • id:DameKinoko 本論とずれるけど、当該システム詳細画面のURLが長すぎてワロタw128bitのパラメータが2つも並んでるww

.....ノーコメントで.f(^^;

*1:通常は生年月日は機密情報として扱われてないので,不特定多数にベラベラ喋ったり,履歴書や会員登録であちこちに記入している.クラスメイトや同僚などでは「そういえば自分の誕生日は来週だよ/昨日だった」みたいな話は普通にするわけで,クラスメイト,上司や取引先,さらにはその友人などでも知っている可能性はある.年齢も学年,同期入社や外見からかなり推測できるしで,そこまでわかれば手入力でもクラッキングできるレベル.

*2:従業員しか使わない社内システムで仮に初期パスワードが生年月日でも,そういう企業秘密はそうそう外部に漏らさない.バラしても金銭的利益があるわけでもないし,首になったり企業から訴えられたり転職できなくなったりするだけだから.