headless 曰く、

米国の長距離バス会社GreyhoundのWebサイトGreyhound.comでは利用者向けのポイントプログラムを提供しているのだが、登録した会員はパスワードを変更することもできないそうだ(Ars Technicaの記事)。

パスワードの保存に弱いハッシュが使われていた、クレジットカードのセキュリティコードを保存していた、といったWebサイトのバッドプラクティスはたびたび話題になるが、Greyhound.comではパスワードの再発行を依頼すると現在のパスワードがそのまま電子メールで送られてくるという。つまり、パスワードを平文で保存していることになる。また、パスワードは4文字以上(試しにアカウント登録してみたところ1文字でも通ってしまった)であり、パスワード変更機能自体が用意されていないとのこと。

これについてGreyhoundの広報担当者はArs Technicaに対し、指摘された問題は将来的に対応を行う計画だが、Webサイトでチケットを購入する際に顧客の決済情報が盗まれたことはないなどと述べているとのことだ。