東横INNの予約サイトのセキュリティが改善

usagito 曰く、　ビジネスホテルチェーン「東横INN」の予約サイトのセキュリティが改善された(東横INNのお知らせ)。

従来は「名前+生年月日」または「生年月日+パスワード」でログインし、予約および予約の確認・変更・キャンセルを行うことができる仕様だった。2月18日に「メールアドレス+パスワード」の新ログイン方法が導入され、4月17日いっぱいで旧ログイン方法による認証が廃止された。

タレコミ人は昨夏、IPAにウェブアプリケーション脆弱性関連情報として届け出ている。ホテルの予約情報というのは、センシティブかつ具体的被害の危険があるのだから、もうちょっとまじめに構築しておいてほしかった。とりあえず改善されてよかった。

　移行手続き期間は5月17日まで。それまでに移行手続きをしない場合、予約の際に新規アカウントの作成が必要になる。なお、移行手続きの際は姓・名・生年月日・電話番号での認証が行われるようだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | アナウンス

　関連ストーリー：
住信SBIネット銀行、OAuthによる外部サービスとの連携を開始 2016年03月26日
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される 2016年02月03日
家計簿アプリにネットバンキングのパスワードを含むアカウント情報を登録することの是非 2015年07月02日
三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に 2015年06月22日
スラドに聞け：Webサービスでの「電話番号登録」はセキュリティ強化につながるのか 2015年05月21日
個人情報が意図せず公開状態になっているWebサイトを発見、どう対処する？ 2015年03月08日
ガラケー向けTwittertwtr.jpがリニューアル、ついに簡単ログインを廃止 2015年03月02日
ANA、会員向けオンラインサービスのログイン用に8～16桁の「Webパスワード」を導入すると発表 2014年08月20日
JALが携帯電話を使わない二段階認証を採用 2014年08月04日
NHK、受信料未払いで東横インを訴える。東横イン側は争う意向 2012年09月11日
東横インとりそなカード、情報流出の後始末 2005年03月08日