パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円」記事へのコメント

  • いろいろヤバくね? (スコア:4, すばらしい洞察)

    by Anonymous Coward

    管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。
    復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)

    • by Anonymous Coward on 2021年03月25日 14時02分 (#4000816)

      パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。

      親コメント
      • by Anonymous Coward on 2021年03月25日 16時05分 (#4000923)

        いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?
        「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。
        元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。

        親コメント
        • by Anonymous Coward

          まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。
          安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。

        • by Anonymous Coward

          元コメはそういう手口でパスワードを抜かれたのではなくて、
          貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?

          • by Anonymous Coward

            そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?

            • by Anonymous Coward

              ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww

      • by Anonymous Coward

        と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。

        • by Anonymous Coward

          このコメは、
          復号可能な形で保存したパスワードに
          システム管理者がアクセス可能だった、
          という想定でしょ。変なコメントじゃない。

          ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。
          (既に公表されていたらすまぬ)

          • by Anonymous Coward

            想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。

      • by Anonymous Coward

        ではどのように盗まれたと考えるのが高レベルなのでしょうか。

        ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。

        • by Anonymous Coward

          この犯罪者は計画的・長期的に犯行を実行できる条件を持ってるんだからそこに無理はないでしょ。
          #4000793は全く頭を使っていないのが否定されてるだけ。
          スクリプト挿入でもハッシュ解析でも可能性があるのに、いきなりDBが平文がと決めつける発想が貧しいってこと。
          それしか知らないところが察せられるから低レベルって言われる。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...