カナダのパスポート申請情報、単純なURL書き換えで丸見えに

 ラニング氏はブラウザのURLのうち1文字を「M」から「L」に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。

そんな簡単に見えるような作りになってるんですか!!

 トロントの日刊紙Globe and Mailによると、申請情報にはほかに、自宅と勤務先の電話番号、連邦IDカードナンバー、銃器登録番号が含まれる。

 「あまりに簡単だった」とラニング氏はeWEEKに語った。URLの書き換えは、決してでたらめにやったわけではなかったという。「(申請プロセスで)5段階目まで行ったのだが、必要な情報が足りなかった。何カ所かに問い合わせる必要があったが、住所が分からなかったので、電子メールで問い合わせをした。返信を待つ間にアドレスバーを見ていたら、わたしの申請IDがアドレスに含まれていることに気づいた。『このIDを書き換えたらどうなるだろう?』と思って、MをLに書き換えた。わたしの前に並んでいた人の番号だ。そしたらなんと、その人の情報が画面に表示された」

開発者が簡単に気付きそうな気がするんですが、テスト漏れとか考慮漏れ?
いや、そんなばかな・・・

記事: カナダのパスポート申請情報、単純なURL書き換えで丸見えに - ITmedia エンタープライズ