アカウント名:
パスワード:
被害者に何時何分にどのIPから何を購入したかを開示できればいいのにお互い犯人または原因をみつけたいだろうにな
過去にこういうのありましたね。PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 [impress.co.jp]修正したつもりだったのに実はまだ弱点が残っていたとかもありえますね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
無理やりログイン状態に持っていける? (スコア:0)
つまり、パスワードは分からないが、別のPCなりPS3なりで無理やりログイン状態に持っていける、ということなのかな?
Re: (スコア:0)
1click購入(見たいな買い方)ができるとなんで無理矢理ログイン状態にできるんだよ。
Re:無理やりログイン状態に持っていける? (スコア:5, 興味深い)
(1) ウォレットにクレジットカードからチャージする
(2) ウォレットにチャージされた分を使ってコンテンツを買う
(1)はPSNに、クレジットカード情報が登録されているアカウントでログインすれば、パスワードの入力無しに可能。 (2)の段階で改めてパスワードの入力を求めてくるか否かはユーザの設定次第。
「(2)の段階で改めてパスワードの入力を求める」に設定していた被害者の方は、上限の20000円分までチャージされていたが何も買われていなかった。 そうじゃない被害者の方々は、7~8万円分ぐらい、チャージされた上、コンテンツが購入されていた、など。
主張を信じるなら、「攻撃者はパスワードを割り出すことはできないが、被害者アカウントでPSNにログインできる」という攻撃方法が確立された、という推察になります。
# ほんとはパスワードも割り出せてるけど、捜査攪乱のため割り出せてないふりをしている、とか言い出すときりが無いので略
運営者なら、ログをチェックして、ユーザの正常な利用と、ユーザが不正にやられたと主張するチャージ・購入操作のリクエスト元のIPアドレスを比べるとか主張の真偽をもうちょっと詳しく調べられるでしょう。安心して使えるかどうかの判断のためにも、続報に期待したいです。
Re: (スコア:0)
被害者に何時何分にどのIPから何を購入したかを開示できればいいのに
お互い犯人または原因をみつけたいだろうにな
Re: (スコア:0)
過去にこういうのありましたね。PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 [impress.co.jp]
修正したつもりだったのに実はまだ弱点が残っていたとかもありえますね