アカウント名:
パスワード:
「ゲームの利用者のIDやパスワードを自由に閲覧できたという。」http://www.asahi.com/articles/ASK6P5QJQK6PPTIL016.html [asahi.com]
個人情報をハッシュ化してマスクするのは適切な対応ではあるが、実環境の個人情報を一般レベル(信用や束縛の弱い)の従業員が閲覧できる状態が問題の本質。IDとパスワードだけが閲覧可能だったなんてことはないだろう。
そもそもhttp://www.sankei.com/west/news/170621/wst1706210090-n1.html [sankei.com]
容疑者が利用者情報が分かる社内の「管理ツール」を悪用して68人分のアカウントを不正に取得した
氏は平成27年12月に契約社員となり、ゲーム内のイベントやアイテムを企画したりする企画開発部に所属
「(おそらく部署が違う [aiming-inc.com]であろう)企画開発部の」「契約社員が」「他部署の(おそらく平文で閲覧できるであろう、しかもログイン日付までスナップした)管理ツールで」「68人分のID/PWをコピペできる(さすがに全ID/PWを瞬間記憶したわけじゃないだろう)」(おまけに別ゲーとはいえ5月までかなり古そうな運用環境だった [aiming-inc.com]タイトルもある)というウルトラガバガバな社内環境が見えてくるんですが…#でもマーベラスなら仕方がないと思うのはルンファク2を即買いしてしまったせいだとはおもいたくないまる
そのまま保存していたかどうかはこれだけだと判断がつかん。データベース上はハッシュ化されているが管理用ツールで表示する際に復元した上でひょうじしているのかもしれないだろう?
すごい管理用ツールだな。是非欲しい。
「凄い(馬鹿な実装の)管理用ツールだな亅であってます?
しまったなハッシュ化だと復元できないか。暗号化してあれば平文ではないと書くべきだった。
ハッシュ化されてるパスワードを復元できるなら普通に凄いだろ。
方法はあるよね?レインボーテーブルだっけ?
ハッシュ化のルールが判明してる前提なら、あらかじめ照合用の突き合わせテーブルを作っとけば済む話では。
レインボーテーブルが通じるのは、salt未使用の場合だけ。
ハッシュ化されているからと言ってsalt適用済みとは限らないのだ…下手な擁護だな。
ネット系の新興企業は生パスワードをDB保存するのがデフォルトです。これは広告系でもそうです。
まともな企業はこのあたりの査定文書を送って契約を判断します。やってないところは早急に取引開始時の確認事項に盛ってください。非常にリスク管理の甘い企業がたくさんあります。
ハッシュからパスワード復元とかNSAかよ。
所詮はゲームのアカウントだからなぁ……。
所詮?そりゃおかしいだろ。
Webサイト・ゲームごとにパスワードを使い分けている人ってどの程度いるのでしょうか.ID,PWが外部に流出したときの被害と, 運営会社やゲームの規模を考えると"所詮"とは言い切れないのでは...
// まさかログイン時に送信されるパケットも平文ってことは...
最近のモバイルゲームはIDオンリーでアクセスできるものが多い。さらにIDは自動的かつランダムに生成された数字の羅列であることが多い。さらにIDの入力すら不要なところが多い。端末のロックを解除できる=ユーザ本人という理屈ですな。そんなわけで今時はゲームのIDとパスワードの両方を意識したことのない人も多いかも。
以下蛇足。別端末への移行は発行依頼を行うと発行される有効期限付きのワンタイムキー(と言っても事業者側の作業はソフトウェアで自動化されているのですぐ終わる)を使う場合が多いように感じます。端末の故障などの場合に備えて外部
だって生の方が気持ちいいんだもん
漏らしたら大変な事になるんだぞ?
そこまでできるなら、いっそ0からプレイヤーデータ(アカウント)を作って、適当なレアキャラ持ってる状態にフラグ弄って、そのアカウントを売れば後腐れ無かったのに・・・とか。IDとパスワード閲覧するのよりは難易度高いだろうとは思いますが。
参照権限はあるけど、変更権限がなかったんでしょうな。
データの整合性チェックをやってる可能性があるので単純にデータをいじるとユーザによる不正操作として無効化されるかも。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
いまどき生のパスワードを保存だと!? (スコア:2, 興味深い)
「ゲームの利用者のIDやパスワードを自由に閲覧できたという。」
http://www.asahi.com/articles/ASK6P5QJQK6PPTIL016.html [asahi.com]
生パスは問題の一部 (スコア:1)
個人情報をハッシュ化してマスクするのは適切な対応ではあるが、
実環境の個人情報を一般レベル(信用や束縛の弱い)の従業員が閲覧できる状態が問題の本質。
IDとパスワードだけが閲覧可能だったなんてことはないだろう。
Re:生パスは問題の一部 (スコア:1)
そもそも
http://www.sankei.com/west/news/170621/wst1706210090-n1.html [sankei.com]
容疑者が利用者情報が分かる社内の「管理ツール」を悪用して68人分のアカウントを不正に取得した
氏は平成27年12月に契約社員となり、ゲーム内のイベントやアイテムを企画したりする企画開発部に所属
「(おそらく部署が違う [aiming-inc.com]であろう)企画開発部の」
「契約社員が」
「他部署の(おそらく平文で閲覧できるであろう、しかもログイン日付までスナップした)管理ツールで」
「68人分のID/PWをコピペできる(さすがに全ID/PWを瞬間記憶したわけじゃないだろう)」
(おまけに別ゲーとはいえ5月までかなり古そうな運用環境だった [aiming-inc.com]タイトルもある)
というウルトラガバガバな社内環境が見えてくるんですが…
#でもマーベラスなら仕方がないと思うのはルンファク2を即買いしてしまったせいだとはおもいたくないまる
Re: (スコア:0)
そのまま保存していたかどうかはこれだけだと判断がつかん。データベース上はハッシュ化されているが管理用ツールで表示する際に復元した上でひょうじしているのかもしれないだろう?
Re:いまどき生のパスワードを保存だと!? (スコア:1)
すごい管理用ツールだな。是非欲しい。
Re: (スコア:0)
「凄い(馬鹿な実装の)管理用ツールだな亅であってます?
Re: (スコア:0)
しまったなハッシュ化だと復元できないか。暗号化してあれば平文ではないと書くべきだった。
Re: (スコア:0)
ハッシュ化されてるパスワードを復元できるなら普通に凄いだろ。
Re: (スコア:0)
方法はあるよね?レインボーテーブルだっけ?
Re: (スコア:0)
ハッシュ化のルールが判明してる前提なら、あらかじめ照合用の突き合わせテーブルを作っとけば済む話では。
Re: (スコア:0)
レインボーテーブルが通じるのは、salt未使用の場合だけ。
Re: (スコア:0)
ハッシュ化されているからと言ってsalt適用済みとは限らないのだ…
下手な擁護だな。
Re: (スコア:0)
Re: (スコア:0)
ネット系の新興企業は生パスワードをDB保存するのがデフォルトです。
これは広告系でもそうです。
まともな企業はこのあたりの査定文書を送って契約を判断します。
やってないところは早急に取引開始時の確認事項に盛ってください。
非常にリスク管理の甘い企業がたくさんあります。
Re: (スコア:0)
ハッシュからパスワード復元とかNSAかよ。
Re: (スコア:0)
所詮はゲームのアカウントだからなぁ……。
Re: (スコア:0)
所詮?そりゃおかしいだろ。
Re: (スコア:0)
Webサイト・ゲームごとにパスワードを使い分けている人ってどの程度いるのでしょうか.
ID,PWが外部に流出したときの被害と, 運営会社やゲームの規模を考えると"所詮"とは言い切れないのでは...
// まさかログイン時に送信されるパケットも平文ってことは...
Re: (スコア:0)
最近のモバイルゲームはIDオンリーでアクセスできるものが多い。さらにIDは自動的かつランダムに生成された数字の羅列であることが多い。さらにIDの入力すら不要なところが多い。端末のロックを解除できる=ユーザ本人という理屈ですな。そんなわけで今時はゲームのIDとパスワードの両方を意識したことのない人も多いかも。
以下蛇足。
別端末への移行は発行依頼を行うと発行される有効期限付きのワンタイムキー(と言っても事業者側の作業はソフトウェアで自動化されているのですぐ終わる)を使う場合が多いように感じます。端末の故障などの場合に備えて外部
Re: (スコア:0)
だって生の方が気持ちいいんだもん
Re: (スコア:0)
漏らしたら大変な事になるんだぞ?
Re: (スコア:0)
そこまでできるなら、いっそ0からプレイヤーデータ(アカウント)を作って、適当なレアキャラ持ってる状態にフラグ弄って、そのアカウントを売れば後腐れ無かったのに・・・とか。
IDとパスワード閲覧するのよりは難易度高いだろうとは思いますが。
Re: (スコア:0)
参照権限はあるけど、変更権限がなかったんでしょうな。
Re: (スコア:0)
データの整合性チェックをやってる可能性があるので単純にデータをいじるとユーザによる不正操作として無効化されるかも。