12,639人分のアドレスをCC欄に
商品に関するアンケートをメールで配信する際に、顧客12,639人分のメールアドレスをCC欄に記載して送信したことを明らかにした。
CC欄であろうがBCC欄だろうが、バッファオーバフローの脆弱性を探すわけでもなく、12,639人分ものメールアドレスを小さなGUIの入力窓に突っ込んでしまうという発想がなんとも斬新である。
ある程度現実的な上限値が存在しても良いかとは思うが、このような入力に対してもきちんと処理できてしまうプログラムもそれはそれで立派かもしれない。
あらためて言うまでもないが、ユーザは開発者の想像を超えた形でプログラムを利用するということを意識しておく必要がある。
(参考情報)
■個人情報の流出に関するお詫びとお知らせ(PDF:セガトイズ, 6/13)
http://www.segatoys.co.jp/ir/libra/20060613ir.pdf
■セガトイズ、商品アンケートメールで12,639人分のアドレスをCC欄に(InternetWatch, 6/14)
http://internet.watch.impress.co.jp/cda/news/2006/06/14/12322.html
カテゴリー: 情報セキュリティ
【宛先】や【CC】で「同報メール」を送信して「メーリングリストだ」などと
公言してはばからないような「永遠の初心者」がいる限り、このような
【事件】は永続的に繰り返されるものと推察します。
一方で、1万人を越えるようなCCが打てるMUAが存在すること自体にも
疑問が残りますが。
そろそろPC(と言うかネット)の利用も【免許制】にすべき時期を迎えた
のではないでしょうか。
> 上限値
一般的にはMTA側で宛先数100アドレスまでに制限するのが普通ですので(RFC821/2821による)、100アドレスという数字が事実上の上限値として機能している場合が多いと思います。もっとも、100アドレス制限を実装していないMTAもありますので絶対ではありませんが。
RFCで一応上限が規定されているのですね。実際どの程度実装されているかは疑問ですが・・・。
情報ありがとうございます。