KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア
2019/03/15 01:43
aikawame
落ち着いてから考えると、これって結構やばいやつでは…。
2019/03/15 07:42
NOGjp
マジか! せめて糞なのはUIとかスケジュール公開の遅さだけにしてほしい、、、。
2019/03/15 09:51
and_hyphen
KINEZOはマジでやばくてそれだけでバルト9に行きたくなくなるレベルなのでなんとかして欲しい
2019/03/15 10:17
emt0
クレジットカード支払い出来るサービスでコレはちょっとな~決済面は全部切り離されて、せいぜい上映履歴と予約情報くらいなら問題はないけど。ティ・ジョイ系列はサービス悪いし、舞台挨拶と東映限定以外は行かない
2019/03/15 11:01
Kil
「クレジットカード支払い出来るサービス」で、「4桁数字パスワード」で、「本人以外、しかも映画館の係員クラスでも閲覧可能」って、これクレカの暗証番号と同じ数字をパスワードに設定している人がいたら……。
2019/03/15 11:05
Vorspiel
おいィ!?
2019/03/15 11:16
wkoichi
“KINEZOの登録ユーザーは今すぐパスワードを確認し、多少なりとも安全な(とはいっても所詮4桁の数字だが…)ものにしておくべき”
2019/03/15 11:50
kiria25
何年も使ってないけど、昔使ってたな。確認しておこう。
2019/03/15 12:12
sin20xx
ユーザーのパスワードを内部の人間が閲覧できるという行為を許容するというのは昔から不正の温床でNG手法の一つだし、可逆暗号化であってもパスワードを復元できる仕組みは滅ぶべき時代なんだが。理解してなさそう。
2019/03/15 13:08
razokulover
やばい話だった
2019/03/15 13:11
sue445
“現在システム改修を検討中”平成の終わりとともに4桁数字パスワードも滅んでほしい
2019/03/15 13:13
sendai
4桁数字パスワードなんて総当たりですぐ割れてしまうから怖いので、KINEZOは予約のみで決済は当日劇場でやるようにしていた。あとバルト9は新宿界隈でキャラメルポップコーンのソースが一番薄い。
2019/03/15 13:19
pullphone
ひろみちゅ案件じゃね?これ
2019/03/15 13:21
teracy_junk
激ヤバ案件だった
2019/03/15 13:44
shields-pikes
KINEZO激ヤバだな。いっそのことログイン後に表示されるQRをスキャンするだけで発券して、パスワード入力なんて無しにすればいいよ。TOHOでID代わりに電話番号を入力させられるのも意味不明だし。
2019/03/15 13:50
Geheimagent
こわっ、と思って(使ってなかった)KINEZO退会したけど、退会前に登録情報の変更をおこなっておくべきだった(もう後戻りできない)
2019/03/15 13:58
mechpencil
KINEZOが使われている映画館でキャッシュカード入りの財布を落とした場合、悪意を持ったバイトに拾われると暗証番号を使って金を引き出される可能性があるのか
2019/03/15 14:00
maricar9710
キネゾーに限らず中規模映画館でよく使われてるコアシステムズでも4桁のパスワードは普通に従業員が閲覧可能。映画業界は早くからネット予約が進んでる分、システムが古いままのものが多い印象。
2019/03/15 14:09
wareruSORA
今退会した
2019/03/15 14:38
kaerucircus
それ言ったら、テアトル系などのミニシアター系が使ってるシステムは、EC2+Windows2012R2の上でPHP 4.3を無理やり動かしてて、MTAもCDO for Windows 2000なので、やめて~、っていつも思う。誰か何とかしてやってよ
2019/03/15 14:39
aratah
登録されている情報はニックネーム・性別・生年月日・郵便番号・マイ劇場・メルマガの有無。知られて何か困るのか?
2019/03/15 14:40
sds-page
宅ふぁいる案件
2019/03/15 14:43
REV
バルト9は1Fの発券機まわりが大混雑エレベーター待ちも大混雑なので… トイレが多いのはやはり東宝シネマ新宿 / 東宝が電話番号つかうの、行けなくなった映画を他人に「譲渡」する際のバリアじゃないかと思ってる
2019/03/15 14:49
HanaGe
マジか!
2019/03/15 14:54
don_ikura
最近バルト9使ってないから速攻で退会した
2019/03/15 14:58
okbc99
映画館のネット予約システムとしては初期からある印象なので、かえって古いままの仕組みになっているということかな……。
2019/03/15 15:02
fai_fx
パスワードを忘れたり、間違えて覚えている客さえ来なければ、すぐにでも改善できた事案だったりして…
2019/03/15 15:12
kalmalogy
キネゾーはまじでゴミ
2019/03/15 15:15
pixmap
こんなゴミみたいなウェブサービス作る方も作る方だし、利用する企業もたいがいだよなぁ
2019/03/15 15:23
anoncom
閲覧できると言うことは平文保存。個人情報漏れてなくても4桁の数値は総当たりですぐできそうだし
2019/03/15 15:29
kuracom
シネマシティ以外の予約はキャンセル不可だし概ねクソという印象
2019/03/15 15:30
deep_one
パスワードが可逆暗号で格納されることがあるのはこういう要求仕様があるから(笑)/数字4桁ならソルト付きのハッシュでも解読できる気がしてきたぞ。ブルートフォースでも瞬殺。
2019/03/15 15:32
min222
マジか。
2019/03/15 15:56
tarchan
>KINEZOのパスワードが平文もしくは可逆暗号で管理されていることは明らかだ。
2019/03/15 16:05
stilo
『KINEZOのパスワードが平文もしくは可逆暗号で管理されていることは明らかだ。しかも、そのパスワードはあろうことか、現場の係員でも容易に覗けるようになっているのだ。』
2019/03/15 16:09
maturi
サイバーローガード戦法
2019/03/15 16:18
limithand
拡散したらあかん脆弱性なんだが、こういうのは拡散して話題にならないと事の重大さを理解してくれないからなあ・・・
2019/03/15 16:18
ogawa0071
TOHOシネマズは使ってていい感じな気がする
2019/03/15 16:37
fujifavoric
数字4桁の時点でどうなんだこれは…と思いながら使ってたけど平文管理は輪をかけてヤバいな…
2019/03/15 16:52
kfujii
わー。
2019/03/15 17:00
Falky
うわぁ。。。
2019/03/15 17:05
scudroid
うへえぇ。
2019/03/15 17:27
hate_flag
課金が絡まないならこれくらい雑でもいいけどクレジットカードと紐付けされたサービスでコレはないわ・・・
2019/03/15 17:28
khtokage
こええ。最近KINEZO系で見てないし、とりあえず退会しといた。
2019/03/15 17:34
miquniqu
パスワード収集が捗りそう。高年齢とか更に絞る情報もセットで持っててガチヤバイ。なおかつ新宿バルト9にいく層考えたら捗りすぎ。
2019/03/15 17:39
Tailchaser
KINEZOほんとクソだよね、バルトは割引も無いわ劇場的にも狭いわでほんとどうしてもって時以外は行かなくなった
2019/03/15 17:46
zkq
まずパスワードと暗証番号の違いがわからなくて意味がわからない
2019/03/15 17:48
youichirou
映画館のようなやつの場合、「金は払ったけど暗証番号わからんけどあと3分で始まるから何とかしろ」という客に対応しなければならないのである種のゆるさは必要なのかもだが、もうちょっとやりようはあると思う。
2019/03/15 17:49
fotus4
恐怖記事。すぐに会員情報適当に書き換えて退会ボタンを押した。退会者情報も適切に廃棄してくれることを祈るしか…
2019/03/15 17:59
quno
New Balanceのポイントサービスもリマインダー使ったら、平文パスワードがメールで送られてくるよ
2019/03/15 18:01
delphinus35
不可逆暗号だとしても、4桁の数字と分かってれば数秒で復号できそう。
2019/03/15 18:09
ysync
知らんサービスだなと思ったが、東映系のシネコン運営会社のアプリなのか。
2019/03/15 18:30
yoiIT
ひっ
2019/03/15 18:32
sebangou04
やべーやつだ。バルト9しばらく行ってないけど、どうしてたっけな…
2019/03/15 18:39
korn_freak
パスワード変更しようとしたら「パスワードの確認」以外のことができなかった。確認するとパスワードがメールでそのまま送られてくる。
2019/03/15 19:00
naglfar
この時代にありえない……。
2019/03/15 19:07
h3poteto
まじかよ...
2019/03/15 19:12
jazzanova
バルト9とか全く使わなくなったからこれを機に退会した
2019/03/15 19:24
tetokon
Oh…
2019/03/15 19:29
takeishi
webで予約できるけど、映画そのものは予約した映画館に行かないと見られないのでいわゆるwebサービスに当たるのかどうか
2019/03/15 19:29
Helfard
あらあらうふふー
2019/03/15 19:38
k-wacky76
このシステムの開発会社マジで滅びてほしい。 業務を請け負えるレベルにない開発会社は詐欺に等しい
2019/03/15 19:41
andalusia
PINを(可逆)保管しているところは結構ありまして。PCI DSSでもイシュアが保管する分には規制ないし。例: JALカード → bit.ly 「暗証番号の通知をご希望の場合は、以下の窓口までご連絡ください。」
2019/03/15 19:43
terazzo
あれは暗証番号をパスワードと呼んでるのが良くないと思うし、発券時の暗証番号とWebのログインパスワードが一緒なのも良くない。
2019/03/15 19:49
mkusunok
よくあるあかんやつだけど、情報科学の教科書でパスワードの正しい保存方法とか習わないのかな
2019/03/15 20:02
threetwoonezi1ch
キネパスたまに使うけど、どうログインしたかも覚えてないな…。
2019/03/15 20:11
neko2bo
正直な話、このエントリを読んでも、何がマズイのか分からない人って、結構いる気がしなくも無くも無いかも…
2019/03/15 20:13
tafutech
クレカ情報は保存出来なかったような?
2019/03/15 20:14
kaputte
確認してないけどさ、これっていわゆるカード情報非保持でPCI-DSSすり抜けてるパターンなのかな?PCI-DSS的にこれOKなの?これがOKなら外部決済システムでクレカ使ってる業界全部信用できないんだけど?
2019/03/15 20:15
kincity
バルト9は膝掛けがないから行かない。(お年寄りはおよびじゃないんたとおもう)
2019/03/15 20:19
atahara
クレカと繋がってるの。それは怖いねえ。
2019/03/15 20:22
u-li
“言うまでもなく、この状況からKINEZOのパスワードが平文もしくは可逆暗号で管理されていることは明らかだ。しかも、そのパスワードはあろうことか、現場の係員でも容易に覗けるようになっている”
2019/03/15 20:50
misomico
どんな映画よりホラー
2019/03/15 20:56
elve
ぉぉぅ
2019/03/15 21:00
saku_na63
ひぇっ
2019/03/15 21:49
takhino
想像のはるか斜め上をいくヤバさだった…。これはあかん。
2019/03/15 21:51
maruhoi1
4桁のアレ、やばいとは思ってたけどこれはひどい
2019/03/15 22:03
tadasukeneko
バイトテロで,お客さんのカードでamazonをポチる動画が・・・
2019/03/15 22:03
eru01
そもそも数字4桁の時点でな。2019年やぞ
2019/03/15 22:04
ryun_ryun
去年使った時はスーパーホテルもパスワード平文で送られて来たし、そんな企業は山ほどあるんだろう。パスワードの使い回してるとマジで危ない。
2019/03/15 22:07
Mash
クレジットカード情報は都度入力なので何が問題か判らなかった/T・ジョイ系列の映画館を使った事が無い人達が雰囲気でコメント書いてるように見える
2019/03/15 22:07
l83DK
やばいけど、前はたくさんあった
2019/03/15 22:08
nerimarina
怖
2019/03/15 22:09
uunfo
脆弱性報告していくしかなさそう
2019/03/15 22:22
ohsawa0515
不謹慎だがこういうサービスは宅ふぁいる便と同じ末路を辿って消え去ってほしい
2019/03/15 22:23
metroq
チケット購入のためのWebサービスにログインするためのパス(数字4桁)が、映画館にある機械?でのチケット発券時にも求められて、なおかつそのパスは映画館スタッフの人も見る事ができるという理解で合ってるだろうか。
2019/03/15 22:31
nabe1121sir
キネゾウさんは4桁パスワードの時点で使うのやめた。
2019/03/15 23:00
gyu-tang
ひぇーっ
2019/03/15 23:13
htnmiki
うーんこの……
2019/03/15 23:24
shiju_kago
『PIN?とかいうのも数字4桁で色々なところで使われているらしいからうちのパスワードもそれで大丈夫でしょ?』くらいの極めて危険な思考で運用していてもおかしくない
2019/03/15 23:26
dollarss
類似のシステムに関わったことがある。年寄りも使うシステムで4桁以上、数字以外許容するとまず覚えられん!と係員は怒鳴られる。挙げ句PW忘れた、映画見られないふざけんな!金返せすぐ返せ!と暴れられる…
2019/03/15 23:33
PrivateIntMain
金が降りてこないことにはどうにもできないってニュアンスなのかな/トップにある「重要なお知らせ」ボタン開いたら真っ白だったので今重要にしてる最中かもね
2019/03/16 00:35
wapa
郵便局でキャッシュカードのパスワード忘れた時は、通帳と印鑑、本人確認書類を持っていき申請、後日簡易郵便で送られてくるとかだったな。店員が調べられるのは流石に。まあ他だと誕生日で認証とかもあったような。
2019/03/16 01:43
lainof
クレジットカードの情報は毎回入力だし、登録する個人情報もログイン用のメアドぐらいなので、パスワードを使いまわしてなければ被害にあうことは無いのでは?
2019/03/16 01:50
ayumun
キネゾーは規模の割にはショボいのと、Tジョイ系列はポイント制とか会員割引皆無なのが。品プリの映画館は席が広くて良いんだけど残念。
2019/03/16 05:41
umi1334
シネコンでどうせ1万通りなのに何が問題なのか
2019/03/16 07:26
reachout
大阪のブルク7は梅田の映画館の中でもっとも空いているのでよく行く、KINEZOも良く使う。だがパスワードをスタッフが見られるのヤバすぎでは。
2019/03/16 08:01
hazy-moon
パスワードの使い回し以前に、「別に4桁の数字でいいし、店員が見れても問題ないでしょ」みたいな運用を前提にしてて他に問題がない、という気がしない……
2019/03/16 11:09
igrep
問い合わせ・ご報告お疲れ様です… 私も友人もみんな気にしておりました…🙇 ちなみにクレジットカードの番号は都度入力です。使い回してる場合以外で中の人が悪用するとしたら発券履歴とかの個人情報じゃないかな…
2019/03/16 11:26
yosshi51
怖いな、個人情報…
2019/03/16 11:50
toshiwo
4桁でも相当アレだと思ってたのにマジか
2019/03/16 13:38
cinefuk
ユナイテッドシネマの「会員カード(物理)」を持っていけばパスワード等求められることなく発券できるシステムの方が好み。KINEZO二次元バーコードは、ガラケー等の古いブラウザから表示できなくなったのは改悪と思う
2019/03/16 14:09
hdkINO33
KINEZO昔からアレだけど一向に良くならないんだよなあ、もう解約してT-JOY系列の利用もやめるか……
2019/03/16 14:15
jumbomonaka
心配になって見たら会員登録されていて、普段まったく使わないパスワードだった。普段は東宝でほとんどKINEZO使っておらず、最後が2015年12月上映の電気グルーヴの映画でしんみりした。
2019/03/16 16:48
gallu
こわや……こわや………
2019/03/16 19:01
kamemoge
4桁数字の限界説
2019/03/17 00:15
diveintounlimit
経過報告2が色々あかん
2019/03/17 00:21
pismo
この運用が本当だとすると完全にアウトのパターン。4桁の暗証番号云々はさておいて、暗証番号が見えるという段階でアウト。本来ならばシステム的に一時利用の暗証番号を発行すべき。ダメダメすぎるなコレ。
2019/03/18 02:28
Louis
「数字4桁のパスワード兼暗証番号については、数多くの問い合わせを受けている」「ウェブサービス用には英数記号のパスワードを、発券用には別の認証方法を採用する方向での改修を検討中である」
2019/03/18 08:20
Silfith
経過報告2
2019/03/18 08:30
takaya1992
平文保存なのは把握してたけど、映画館の係員でも覗けるのか…
2019/03/18 15:58
ya--mada
登録すると映画の座席確保が出来る整理券が発行されるサイトってこと?デタラメアカウントを大量に作って座席確保だけできるシステムっていう理解ならこういう4桁の自転車のカギみたいなのでも良いのかもね。
2019/03/18 23:03
steel_ball_run
拡散することで一日も早い改善につながればいいなぁ
2019/03/19 11:44
djsouchou
おっかねー!