セブンネットショッピングはどうして問題があっても開店したままにしておくのだろう
セブン&アイの通販部門を統合しネットで使えるようにしたのがセブンネットショッピングだというのだが、凄い事になっている。
とっかかりは、価格・数量単位の誤記と言う事だが、様々なパターンでのセキュリティ問題をまき散らしながら、現在も運営している。
ITMedia の記事
- セブンネットショッピングで価格誤表示 注文客への対応は「検討中」 - ITmedia News
- セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 - ITmedia News
カジ速 の記事
- ⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
- ⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明
- ⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が出る。
- ⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンアンドワイ、今度はソースコードを流出させる。
- ⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブン個人情報流出問題、ついに ITmediaに掲載される・・・セブン「XSS脆弱性はもう対策した(キリッ」→即XSS脆弱性が見つかる
価格表記が1個単位でなくケース単位になってたとかなら、金銭的には大きいが、単純なミスと言えるが、これだけセキュリティ的な問題が噴出するのは、設計の問題と言える。マトモな神経の持ち主なら、もうサイトを閉じて徹底的な調査を行っているだろう。普通の管理者なら、こうした重大障害に対しては収束するまで定期的に経過を報告させるだろう。
でも、商品の誤表記についてはサイトのトップからリンクがあるけど、脆弱性についての説明は見つからない。
こうなってくると、ISO認証取ってようが、ISMS認証取ってようが関係ない。しかし、流行りモンから言うと、プライバシーマーク取得とかしてそうなものだが、各種マークを並べながらも其れは無い。という事は、3年〜5年前の基準で動いてる運営体制なのではないかと予断せざるを得ない。
プライバシーポリシー
IS 507469/ISO(JIS Q)27001
セブンネットショッピングは2004年9月、ISMS認証を取得致しました。本サービスは全て、ISMSに基づいた運用ルール、ポリシーにて運営されております。
今回最も問題なのは、セブン&アイ側が問題の内容を過小(不正直と言っても良い)にしか発表していない事で、利用者はリスクを判断できない状態にあることだ。