ビックカメラ.com、パスワードをリセットしメールで通知するも変更不可だった

既に各所で話題になっているとおり、ビックカメラ.com(www.biccamera.com)ID、パスワードの不正使用の事実が発覚(PDF)(www.biccamera.co.jp)したことで10日間ほどサイトが閉鎖される事態になっていました。

パスワードをリセットし、平文メールで通知

§

閉鎖から1週間を過ぎた11月23日、サイトの再開予定日とともにパスワードの扱いについてのお知らせが掲載されましたが、その内容はビックカメラ側でパスワードを変更し、それをメールで送るというものでした。

今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全性が確認されましたので、11月24日の午後2時をもちましてサイトを再開させていただく予定でございます。

つきましては、安全性確保の為、現在ご使用いただいているドットコムのアクセスパスワードにつきましては全て変更させて頂きました。新しいアクセスパスワードは、現在メールまたはDM(ダイレクトメール)にて、順次送らせていただいております。

インターネットショッピングサイト(ビックカメラ.com)の再開日時の決定について(www.biccamera.co.jp)

この時点で嫌な予感はしていたのですが、高木先生のツイート(X)にあったように、仮パスワードにすぎず本登録に別の何かが用意されているのなら、さほど問題ないとも言える。(X)という可能性を信じて待つことに。

そしてメールが届きましたが、末尾に記されたパスワードの案内には「仮」などの文字はありませんでした。

サムネイル画像
ビックカメラ.comから届いたメールオリジナル画像

パスワードが変更できない!

§

さらに、サイト再開日の24日に衝撃の事実が発表されました。

○ドットコムサイトでのポイント利用、会員の登録変更の停止

サイト再開後の状況を確認しながら順次、停止措置を解除する予定です。

インターネットショッピングサイトでのネットショップ会員のID、パスワード不正使用に関するお詫びとサイト再開について(www.biccamera.co.jp)

ログインして会員メニューにアクセスすると、本当にパスワード変更が利用不可になっていました。

サムネイル画像
会員メニュー画面オリジナル画像

実際には、

#biccamera 大変だ… 引数の数字を変える(02とか04にする)と、できない筈の会員情報やパスワードの変更ができてしまった…

Haruka Kataoka (@hrk) 2010年11月24日 20:33(X)

といった事象もあったようですが、いずれにしてもこの状況は長くは続かず、25日夜の時点では変更可能に変わっていました。

一方、現在ログイン画面に表示される「パスワード変更に関するお知らせ」では次のような案内がされていたりします。

会員の皆様には大変ご迷惑をおかけいたしますが、今回、お手元に届きました新規のパスワードにてご利用をお願い申し上げます。

これ、「今後は送ってきたメールにあるパスワードを使い続けろ」と読めるような気がするのですが…。個人的には送られてきたパスワードを使うのは1回限りとし、ログイン後すぐに変更することをお勧めしたいですね。