アスマート情報漏えい、カード番号よりもヤバイもの漏れてますより

　このようなこともあり、実は今回の情報漏えい事件はそんなに大きな事ではないと思っていました。この1文に気がつくまでは。

　（２）流出の可能性がある対象者と項目
　　項目…住所、氏名、電話・ＦＡＸ番号、性別、生年月日、
　　「アスマート」サイトへのログインパスワード、メールアドレス、
　　クレジットカード情報
http://shop.amuse.co.jp/asmart/owabi/index.asp

パスワードそのものが盗まれてるじゃないか！

　Security&Trustフォーラムをご覧の方ならばお分かりかと思いますが、通常のECサイトであればパスワードのハッシュを取得し、それを厳重に保管するのが常識かと思いますが、アスマートはパスワードそのものを保存していたようです。よくECサイトでは、パスワードリマインダーのために生パスワードを保存し、かつそれを平文のメールにて送りつけるということが「顧客への利便性のために」行われていると聞きます。まさかアスマートもそうだったとは思いませんでした。

セキュリティ分野に関しては素人だけど、パスワードそのものが盗まれてるってしゃれにならんのでは...
この手の話は情報漏洩が起きるたびに聞かされる。なのに、まったく改善される気配がない。

生パスワードを保存することの弊害は、ここが詳しい。Webでパスワード認証をする場合、関係者が最低限もっていなければならない知識が書かれている。

いっそのことプライバシーマークの認定基準に「WEB認証用のパスワードをハッシュ化してDBに保存していること」を追加したらどうだろうか。