8dgh



spモードのサービスで、サーバーの設定を誤ったため、一部でパスワードやメアドが変更されてしまうという、結構やらかしちゃった感の強い障害が起きました。

この問題が一番詳しく欠かれているのはここかな。
ドコモのspモード設定にトラブル、他人のメアドが変更可能な状態-ケータイWatch

この問題、パスワードやメアドが勝手に変更されたのは1000人程度とのことで、一瞬、「大したことないじゃん!」って思ったのですが、この記事をよく読むと、潜在的にかなり大問題である可能性があります。

NTTドコモは、「spモードの各種設定」にサーバー上の設定に誤りがあり、他人のメールアドレスやspモードパスワードが変更可能な状態にあったことを明らかにした。なお、不具合自体はすでに修正されており、対象ユーザーに個別連絡している状況という。
「spモードの各種設定」では、メールアドレスの変更やspモードのパスワード変更、Wi-Fi設定、迷惑メール対策などが行える。ドコモによると、サーバー側のソフトウェア更新時にデータの設定を誤り、spモードを利用しているユーザーの「spモード設定情報」が他のユーザーから閲覧可能な状態になっていた。
また、設定変更に必要な4ケタのパスワードが一致していた場合に、メールアドレスの変更やspモードのパスワード自体が変更できる状態にあった。
不具合の発生期間は、7月25日1時41分~9時14分。不具合に伴い、9時14分~13時37分にかけて、「spモードの各種設定」は一時停止状態にあった。
「spモード設定情報」は複数のサーバーに収容されており、ユーザーは自分の設定情報を決まったサーバーにアクセスして確認している。今回、特定サーバーの設定を誤ったことで、該当のサーバーに収容されている自分の設定情報を確認しようとすると、他人の「spモード設定情報」が確認できる状態になっていた。ドコモでは、特定サーバーのユーザー収容数などは明らかにしておらず、閲覧可能な状態にあったユーザーの数は現時点で報告されていない。

つまり、パスワードやメアドが変更された被害のあったユーザーが1000人程度というだけで、なんと、どの程度のユーザー設定が閲覧されたのかは明らかにされていないのです。

 どの程度のレベルの情報が閲覧されたのかはわかりませんし、ひょっとすると全く大したことがない程度の情報かもしれません。でも、実際に見られた情報の問題ではなく、「設定」という、通常はユーザー本人しか閲覧できない部分まで勝手に他のユーザーに閲覧されているというのはかなり気持ちの悪い事です。

そして、勝手にアドレスなどが変更された人はパスワードをデフォルトの0000に設定したままの人が多かったとのことですが、ユーザーの中には設定を変更しようとして、パスワードが合わずに気づいた人もたくさんいると思います。そういった人も閲覧自体はしているわけで、実際に閲覧可能状態、いや、閲覧された数は何十万にも上るのではと思います。