アカウント名:
パスワード:
今まで流出元って明らかになっていないよね?
今までどっかでもれたIDとPassのペアだろ
分かるとしたら、該当者が「**のサービスと同じIDとPass使ってました!」ってtwitterにでも書けば分かるんじゃね?
確実に分かるとすれば、該当者が「**のサービスと同じIDとPass使って侵入ました!」ってtwitterにでも書けば分かるんじゃね?
# twitter ならそういうのもありえるかも
〜 うちじゃない どこかで 〜
ちなみにそれは重要な事なんだろうか。いや揚げ足取りじゃなくて。パスワード流出自体は既報の所で、今は会社名が伏せられてるってこともあるのかなと。
「他社サービス」って、ある程度パスワードの入手経路を特定してる言い回しに聞こえる。
分かればそこのユーザで他の所に使いまわししてる人に確度の高い危険さが注意喚起が出来るだろうけど、流出元は上を下への大騒ぎになるな
リストが1箇所からの物だとすれば数百万件単位以上(ニコニコとはてなへのログイン試行回数から)だろうし、既報のうちのどこかならパッと思いつく心当たりは3つか4つくらいあるかな
A社で流出したものが、B社で悪用され、、B社で流出したものが、C社で悪用され、C社で流出したものが、A社で悪用され、A社・B社・C社が揃って「他社で流出したものが使われた!」と叫んでいる
なんてことはないよな?
ありうるんじゃない?OpenIDみたいなマネして他社のアカウントで認証できるサービスとかもあるし。
これだけ大量だとパスワード使い分けてる人でも流出経路という点で安全ではないな
自社の会員IDに紐付かないログイン試行が一定数以上あれば他社から漏れたリストと言えるんじゃないかしら。
2ch、PSN、Adobe等、結構いろいろ明らかになっていたはずですが。とはいえ、攻撃者がどこの流出元の情報を元に攻撃しているかは、攻撃を受けている側からは知りようがない。まぁ、IDに○○PSNとか○○adobeとかが使われていれば、流出元は分かるのだろうけれど、それを公開してしまうのはメリットデメリット両方あるのではばかられるのでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
だから他社サービスってどこなのよ (スコア:0)
今まで流出元って明らかになっていないよね?
Re: (スコア:0)
今までどっかでもれたIDとPassのペアだろ
分かるとしたら、該当者が「**のサービスと同じIDとPass使ってました!」ってtwitterにでも書けば分かるんじゃね?
Re: (スコア:0)
確実に分かるとすれば、該当者が「**のサービスと同じIDとPass使って侵入ました!」ってtwitterにでも書けば分かるんじゃね?
# twitter ならそういうのもありえるかも
Re: (スコア:0)
〜 うちじゃない どこかで 〜
Re: (スコア:0)
ちなみにそれは重要な事なんだろうか。いや揚げ足取りじゃなくて。
パスワード流出自体は既報の所で、今は会社名が伏せられてるってこともあるのかなと。
「他社サービス」って、ある程度パスワードの入手経路を特定してる言い回しに聞こえる。
Re: (スコア:0)
パスワードの全体、あるいは、一部にサービス名を使っているユーザーもいるでしょうね。
そうすると、不正なログインがあるということで、
ログイン関連のパケット履歴を眺めていれば(そんなことが許されるのかどうかは別問題)、
他社サービス名のパスワードがあることが分かったみたいな。
一方で、そんな方法でログイン試行を監視して、流出元のサービスが分かりましたとは言えないですよね・・・。
Re: (スコア:0)
分かればそこのユーザで他の所に使いまわししてる人に確度の高い危険さが注意喚起が出来るだろうけど、流出元は上を下への大騒ぎになるな
リストが1箇所からの物だとすれば数百万件単位以上(ニコニコとはてなへのログイン試行回数から)だろうし、
既報のうちのどこかならパッと思いつく心当たりは3つか4つくらいあるかな
Re: (スコア:0)
A社で流出したものが、B社で悪用され、、
B社で流出したものが、C社で悪用され、
C社で流出したものが、A社で悪用され、
A社・B社・C社が揃って「他社で流出したものが使われた!」と叫んでいる
なんてことはないよな?
Re: (スコア:0)
ありうるんじゃない?
OpenIDみたいなマネして
他社のアカウントで認証できるサービスとかもあるし。
これだけ大量だとパスワード使い分けてる人でも流出経路という点で安全ではないな
Re: (スコア:0)
自社の会員IDに紐付かないログイン試行が一定数以上あれば
他社から漏れたリストと言えるんじゃないかしら。
Re: (スコア:0)
2ch、PSN、Adobe等、結構いろいろ明らかになっていたはずですが。
とはいえ、攻撃者がどこの流出元の情報を元に攻撃しているかは、攻撃を受けている側からは知りようがない。
まぁ、IDに○○PSNとか○○adobeとかが使われていれば、流出元は分かるのだろうけれど、
それを公開してしまうのはメリットデメリット両方あるのではばかられるのでしょう。