アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
パスワードの再発行の処理が怪しい (スコア:4, 参考になる)
再設定の流れは…
・ID(メールアドレス)と登録した生年月日を入力
(どうやら、回数制限などはなかった模様)
↓
・リマインダー確認(いわゆる秘密の質問)
(質問は数種類あって、自分が選んだモノは画面に表示される。答えは自由入力)
↓
・仮ログイン(新しく設定されたパスワードは画面に表示される)
と言う感じで、利便性のために危険な橋を渡りすぎてしまったのではないか?
最初は、「メールアドレスをキーに生年月日の総当たりかな?」と思ったけど、
リマインダーがあるので、さすがにもうちょっと何かあったんだと思う。
アカウントを持っている人は、ログインしてみると良いと思う。
自分の設定したパスワードでログインできたら、とりあえずは大丈夫なはず。
参考:PLAYSTATION Storeに脆弱性、個人情報流出・不正な課金の可能性 [engadget.com]
参考:<追記有り>PLAYSTATION Network の脆弱性とは、「パスワードの再発行処理」かな? [rakuten.co.jp]
Re:パスワードの再発行の処理が怪しい (スコア:2, 参考になる)
・登録メールアドレスと生年月日を入力
↓
・秘密の質問に対する答えを入力(ご丁寧なことに、質問内容自体は表示される)
↓
・新パスワードを入力
途中でメールが届くなどはなく、全部ブラウザ上の操作で完結しています。
さすがにパスワード変更後はメールが来ましたが。
対策前にどんな脆弱性があったのかは知りませんが、とりあえず今の仕様についても何だかなぁという気がします。
生年月日や秘密の質問と答えを馬鹿正直に登録していると、親しい間柄の人には成りすまされちゃうかもしれません。
なお、生年月日は変更できないのが仕様(アカウント登録時にもそうでるし、FAQにも書かれている)で、
秘密の質問と答えも変更方法は不明(変更できない仕様である旨は見当たらず)です。
# こんな設計が許されてしまうようじゃ、個人的にはまだまだ色々とヤバイものが埋まってそうだと思っています。