【重要】【BuddyPress】特定コンポーネントで会員のメールアドレスが漏洩する可能性!

 先日より、他者に教えていないはずの私のメールアドレス複数に対し、突然スパムメールが届くようになってしまいました。

 はじめ、それらのメールアドレスが漏洩する原因についてさっぱり見当つかず、途方に暮れていました。

 しかし、漏洩した複数のメールアドレスにはとある共通点があり、そこから当たりをつけて原因を調査していたところ、自サイトにとんでもない問題点があることが判明してしまいました。

 まず、漏洩したメールアドレスの共通点については、次の通りです。

  • 自サイト内のブログの管理用に用いているメールアドレスである。

 そして、そこから当たりをつけたところ、「Diet.Telmina.com」の特定のページが、私のメールアドレスを垂れ流していることが判明したのです。

 「Diet.Telmina.com」では、ブログ・アプリケーション「WordPress」の拡張機能である「BuddyPress」を用いています。

 ここで、サイトの管理画面から「サイトトラッキング(Site Tracking)」のコンポーネントを有効にすると、サイトの会員(もちろん管理者含む)がサイト内に立ち上げたブログのリストを取得することができるのですが、あろう事か、このページのソースコードを見ると、サイト内にブログを立ち上げている会員たちのメールアドレスが丸見えになっているんですね!

 なお、執筆時点で、「Diet.Telmina.com」では、サイト・トラッキングのページを非表示にし、「サイト・トラッキング」のコンポーネントを無効化しています。しかし、漏洩してしまったメールアドレスはもはや回収不可能であるため、メールアドレスが漏洩してしまったアカウントに対しては、近日中に別のメールアドレスを割り当て、漏洩してしまったメールアドレスを廃止したいと思います。

 それにしても、「Diet.Telmina.com」を設置してから10ヶ月近く経過しているにもかかわらず、よくもまあ今までこの問題が起きなかった(顕在化しなかった)ものだなぁと、逆の意味で驚いております。

 とりあえず、自分自身以外の会員様が自サイト内にブログを立ち上げていなかったのが、不幸中の幸いでした…。

 なお、私のメールアドレスに送られてきたスパムメールについては、一応自分のメール・クライアントには保存しています。もし、そのスパムメール送信業者ががどのようなところなのかについてご興味のある方がいらっしゃるようであれば、口頭もしくはTwitter 1)副アカウント「@SuperTelmina」もしくは本アカウント「@Telmina」。前者と相互フォローの方については、前者が望ましい にて個別にお問い合わせください。

このブログで関連すると思われる他の投稿:

00

References   [ + ]

1.副アカウント「@SuperTelmina」もしくは本アカウント「@Telmina」。前者と相互フォローの方については、前者が望ましい
この記事はTwitter, Web, WordPress, 業務連絡に投稿されました タグ: , , , , , , , , , , , . このパーマリンクをブックマークする。 Trackbacks are closed, but you can post a comment.

コメントを残す