アカウント名:
パスワード:
なぜ表沙汰にできないかというと、修正されたところには漏れていた証拠が残らない。欠陥の仕組みが単純であればあるほど、信頼に足る証拠が残らない。唯一証拠は、自分がアクセスしたときのデータを保存したものだけれど、どうやって入手したのかを疑われるおそれがある。それを元手に、こういう事態が起きていることを世に訴えるのは、一般の個人には無理なことでしょう。
次に考えられるのは、第三者機関に通報する方法。公的機関に届け出た場合は表沙汰にならないでしょう。せいぜい安っぽい棒グラフが半年後くらいに出てくる程度。もちろん統計データはあった方がよいけれど、一件も表沙汰にならない世の中で、統計だけあって事態が改善されるとは思えない。しかも、この種の事例の通報を受け付けている公的機関がいまだ存在していない(なぜ?)。
そして、マスコミに通報する方法。おそらく、半年前の段階では、マスコミに通報しても記事にはならなかったと思う。彼らも技術的にどういうことなのか理解していないし、実害が出ていないものを報道することはできないと。 しかし今ならどうだろうか。これだけ実害が出ることが理解され、原因もそれなりに理解されつつある現状ならば、丸見えになっていたというだけで報道する報道機関も出てくるのではないだろうか。というわけで、私としては、これが一度試される価値ありと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
私の誤解かもしれませんが (スコア:3, おもしろおかしい)
>なおタレコミには個人情報を記したCSVファイルのURLも併記されていたが、現在は404なので割愛した。
とありますが、404じゃなかったら載せるつもりだったのでしょうか?
他人に見せることを意図していない、個人情報が掲載されていると知り
全責任は流出元にあり (スコア:1, 参考になる)
サーバー管理をきちんとしないから被害がでるわけで、
適切に管理しないサーバー管理者に全責任があります。
だいたい、個人情報流出したときの被害を考えれば
適当に管理するというのはありえない。金儲けしか
考えてないから、こ
Re:全責任は流出元にあり (スコア:1)
最近のセキュリティ問題の公開の是非でもいわれてるけど、
今回の件は公開する前に、管理者にこっそり教えて期間をあげるべきだと思う。(んなことはわかってるって?)
それでもだめだったら、方法以外の部分を公開する手だってあったはず。
すくなくとも公開しなければ、余計な流出はなかったと思う。
”アビバは当然悪いが”、この報告の仕方にはモラルがない。
匿名
Re:全責任は流出元にあり (スコア:2)
なぜ表沙汰にできないかというと、修正されたところには漏れていた証拠が残らない。欠陥の仕組みが単純であればあるほど、信頼に足る証拠が残らない。唯一証拠は、自分がアクセスしたときのデータを保存したものだけれど、どうやって入手したのかを疑われるおそれがある。それを元手に、こういう事態が起きていることを世に訴えるのは、一般の個人には無理なことでしょう。
次に考えられるのは、第三者機関に通報する方法。公的機関に届け出た場合は表沙汰にならないでしょう。せいぜい安っぽい棒グラフが半年後くらいに出てくる程度。もちろん統計データはあった方がよいけれど、一件も表沙汰にならない世の中で、統計だけあって事態が改善されるとは思えない。しかも、この種の事例の通報を受け付けている公的機関がいまだ存在していない(なぜ?)。
そして、マスコミに通報する方法。おそらく、半年前の段階では、マスコミに通報しても記事にはならなかったと思う。彼らも技術的にどういうことなのか理解していないし、実害が出ていないものを報道することはできないと。 しかし今ならどうだろうか。これだけ実害が出ることが理解され、原因もそれなりに理解されつつある現状ならば、丸見えになっていたというだけで報道する報道機関も出てくるのではないだろうか。というわけで、私としては、これが一度試される価値ありと思う。
キケン! キケン! (was Re:全責任は流出元にあり) (スコア:2, 参考になる)
>しょう。私も自分が見つけたときは通知をします。 そして事な
>きを得て修正されたものは、表沙汰にならないのです。だから
>あなたもその存在を知らない。表 沙汰になっているものが公開
>状態になっていたもの全体の何割程度なのかは全く不明です。
しかし、その公開されていたデータが実際に流通していて、
よそでその存在が明らかになった場合に、状況によっては、
その公開な会社は次のふたつの選択肢に直面することにな
ります。
1.実は何年も公開し続けていたのだけど、そのことに気がつかず
外部からの情報によりそのことを知った。そして顧客に通知も
せずにこっそり修正した、と白状する。
2.ちゃんと隠していたはずなのに、「教えてくれた人」にク
ラッキングされて情報が流出してしまいました。われわれも
被害者です!! と叫ぶことにする。
キケンです。とてもキケンです。
どうしても知らせねばというのなら、公衆電話から電話するくら
いの用心はしましょう。2にころんだ場合にムカツクだけで済み
ます。
IN EARTH AND SKIE AND SEA STRANGE THYNGES THER BE.
Re:キケン! キケン! (was Re:全責任は流出元にあり) (スコア:1)
仕事で専門にやってる人なら信頼という見返りが変える場合もあるのかもしれませんが・・・。
割りに会わないボランティアですね。
#だからといって、すべてに対して無責任なのはどうかと思いますが。
Re:全責任は流出元にあり (スコア:1)
外国の状況はよくしらないのですが、
(Bugtraqとかはそれに近いのかな)
日本において、発言力のある(公でも企業でもなく・・)"ユーザ主体"の機関があればと常々おもっています。
少し話しはそれますが、SPAM条例の制定時にもそういったユーザ主体の団体が発言力があれば、広告を投げたい企業の意見が重要視された結果とはまたすこし変わっていたかもしれません。(憶測)
でも日本ではそういった機関はどうやればできるだろう。
識者やネットワークリソースを持ってる人たちがあつまって信頼性を勝ち取っていくしかないんだろうか・・。
報道機関にタレこむというのはおそらく今現在はおそらく有望な選択肢だと思いますが、実際、個人でも簡単なことなのでしょうか?
やはり、ある程度コネと慣れが必要なものなのでしょうか?
(報道されるようになったのも「筋」を通してる人ががんばった証なのかな・・)
逆に報道機関がそういう窓口つくってくれるとうれしいんですけどね・・。
#残念ながら、セキュリティホールも自分で発見できないので
#第三者の憶測モードなのが大変申し訳ないですが。