KDDI 会社情報: ニュースリリース > au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について

ってことで、au Booksでセッションを正常に払い出せずに、他人の情報が見えたり書き換わったりしたそうです。Webアプリのバグっすね。

●1. 発生事象

本年6月22日20時37分から23日18時45分までの間、特定のリンク元サイトから「au Books」にアクセスしたお客様に対し、同じ時間帯にアクセスした他のお客様の登録情報 (氏名、住所、電話番号、生年月日、会員パスワード) が表示され、場合によっては、自分の情報が他のお客様の情報に書き換わってしまう事象が発生しました。
なお、誤って表示された可能性のあるお客様情報は最大436件、また書き換えられた可能性のあるお客様情報は最大124件です。

●2. 発生原因

リンク元サイトから、「au Books」にアクセスしてきた同一のセッションIDを持つお客様に対し、「au Books」が、個別のセッションIDを付与できなかったために発生しました。