アカウント名:
パスワード:
パスワードマネージャを使っていて、パスワードどころかログインIDもユニークなものにしてる。パスワードはパスワードマネージャ利用が大前提で、推測もできないような完全にランダムな文字列だ。
にもかかわらず、漏れた可能性のあるらしい。なんだこれは。
1.他でクラックされたIDとパスワードを使った攻撃ではなく、内部からIDとパスワードが漏れている2.何らかの理由で被害の可能性のあるID絞込み・特定ができてない。僅かでも可能性のあるID全てに通知を出している3.俺のパスワードマネージャのファイルとパスワードとキーファイルが丸ごと漏れてクラックされている
ただ3つめだとすれば他にもっとヤバいID(ネットバンキングなども含む)が記録されているしこんなのんきにはしてられないはず。実際に犯行が行われたのが半年以上前だから、それ以前に漏れていた計算になるが、確認したけど不自然な履歴は無いし…。
とりあえず問い合わせてみるか…。問い合わせ時間23時ぐらいまでにしてくれないかな…。
(1)本サイト上の「いつもの注文」画面の脆弱性の修正本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。当該不具合は、本件調査の過程で発見された7月26日時点で即日改修を完了いたしました。
とあるので、ややこしいですが、不正アクセスされた可能性がある人ではなく、不正アクセスされていたら個人情報を閲覧された可能性がある人を対象にしてしまってるのではないでしょうか?
プレスリリースから行ける確認画面に行くと「不正アクセスにより、お客様のクレジットカード情報を含む個人情報を閲覧された可能性がございます。」って思いっきり出るんですよね…。
ちなみに、確認画面に入る [7netshopping.jp]と、未ログインの場合はログイン画面になる。そこで、ログインするときちんと判別した結果が出る。ログイン画面になったら問題ないと言うわけではないようなので注意。
「いつもの注文」機能の実装に脆弱性があり、例えばパラメーターを変更するだけで他人が登録した「いつもの注文」の内容を見放題だったとかそんなんじゃね?IDとかパスとかは関係ねーっていう、ソレ以前の問題な気がする。
ニュースリリースを見る限りは、本来ログインしただけでは閲覧することができないそのIDのクレジットカード情報が閲覧できてしまう不具合があったという意味のようにも思える。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
流用などしていないのだが… (スコア:1)
パスワードマネージャを使っていて、パスワードどころかログインIDもユニークなものにしてる。
パスワードはパスワードマネージャ利用が大前提で、推測もできないような完全にランダムな文字列だ。
にもかかわらず、漏れた可能性のあるらしい。なんだこれは。
1.他でクラックされたIDとパスワードを使った攻撃ではなく、内部からIDとパスワードが漏れている
2.何らかの理由で被害の可能性のあるID絞込み・特定ができてない。僅かでも可能性のあるID全てに通知を出している
3.俺のパスワードマネージャのファイルとパスワードとキーファイルが丸ごと漏れてクラックされている
ただ3つめだとすれば他にもっとヤバいID(ネットバンキングなども含む)が記録されているしこんなのんきにはしてられないはず。
実際に犯行が行われたのが半年以上前だから、それ以前に漏れていた計算になるが、確認したけど不自然な履歴は無いし…。
とりあえず問い合わせてみるか…。
問い合わせ時間23時ぐらいまでにしてくれないかな…。
Re: (スコア:0)
(1)本サイト上の「いつもの注文」画面の脆弱性の修正
本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。当該不具合は、本件調査の過程で発見された7月26日時点で即日改修を完了いたしました。
とあるので、ややこしいですが、不正アクセスされた可能性がある人ではなく、不正アクセスされていたら個人情報を閲覧された可能性がある人を対象にしてしまってるのではないでしょうか?
Re: (スコア:0)
プレスリリースから行ける確認画面に行くと
「不正アクセスにより、お客様のクレジットカード情報を含む個人情報を閲覧された可能性がございます。」
って思いっきり出るんですよね…。
ちなみに、確認画面に入る [7netshopping.jp]と、未ログインの場合はログイン画面になる。そこで、ログインするときちんと判別した結果が出る。ログイン画面になったら問題ないと言うわけではないようなので注意。
Re: (スコア:0)
「いつもの注文」機能の実装に脆弱性があり、例えばパラメーターを変更するだけで他人が登録した「いつもの注文」の内容を見放題だったとかそんなんじゃね?
IDとかパスとかは関係ねーっていう、ソレ以前の問題な気がする。
Re: (スコア:0)
ニュースリリースを見る限りは、本来ログインしただけでは閲覧することができないそのIDのクレジットカード情報が閲覧できてしまう不具合があったという意味のようにも思える。