パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

14991521 story
情報漏洩

チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 14

ストーリー by nagazou
関連発表はこれから増えると見られる 部門より
イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16~17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている(PeatixCNET)。

この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県埼玉県栃木県宇都宮市福井県福井市宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
14987621 story
情報漏洩

フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 6

ストーリー by nagazou
実際の被害は不明 部門より
CitizenLabによると、フィリピンのCOVID-19の症例データ共有アプリが情報を漏えいしたと報じられている(CitizenLabThreatpost)。

このシステムは「OVID-KAYA」プラットフォームと呼ばれており、フィリピンの最前線の医療従事者がCOVID-19感染者の症例を収集し、フィリピン保健省と共有するために使用するためのもの。ウェブアプリとAndroidアプリの両方に脆弱性が存在しており、許可されていないユーザーが感染者や潜在的な感染者の情報を閲覧できていたという。

ウェブアプリ側では認証ロジックに脆弱性が含まれていた。これにより、ヘルスセンターの名前と場所、およびアプリのサインアップ時に利用される30,000を超えるヘルスケアプロバイダーの名前が公開された可能性があるとされる。Androidアプリでは、医療提供者の名前や機密性の高い患者データにもアクセスできるハードコードされたAPI認証情報が使用されていたとのこと。

CitizenLabは8月18日にDure Technologies、フィリピン保健省、フィリピン世界保健機関(WHO)の関係者などのアプリ開発者にウェブアプリの脆弱性を開示、続いて9月14日にAndroidアプリの脆弱性を公開した。判明した欠陥は10月29日の時点で解消されているそうだ。
14982731 story
情報漏洩

Mashable、ユーザーデータ流出に関する調査結果を報告 1

ストーリー by nagazou
こちらも流出 部門より
headless 曰く、

Mashableのユーザーデータベースとみられるファイルが4日、複数のハッカーフォーラムに投稿されて話題となっていた。これについてMashableが同サイトのものであることを認め、調査結果を報告している(Mashableの記事)。

Mashableによると、このデータベースはソーシャルメディアログインを利用するユーザーがMashableのコンテンツを容易に共有できるようにするため、かつて使われていたものだという。含まれるデータは姓名や大まかな場所(国名・都市名など)、電子メールアドレス、性別、登録日、IPアドレス、ソーシャルメディアのプロファイルページへのリンク、期限切れのOAuthトークン、ユーザーの誕生日(月日のみ)とのこと。

Mashableでは登録ユーザーに財務情報の入力を求めることはなく、保存することもない(ため、流出もしていない)。パスワードは流出したデータに含まれていなかったようだが、ユーザーのパスワードがアクセスされた形跡はないと説明している。

HackReadの記事によれば、データベースを投稿したのはShinyHuntersと名乗るハッカーで、データベースのサイズは5.22GBあったという。ShinyHunterは最近数か月の間にオンラインサービスなど十数件のユーザーデータベースを投稿して注目されている。

Mashableのデータベースにパスワードが含まれていなかったことはShinyHuntersも投稿時に説明していたそうだ。なお、HackReadではデータベースに含まれるアカウントの種類をスタッフ・ユーザー・サブスクライバーとしており、スクリーンショットでは mashable.comドメインの電子メールアドレスも確認できる。

14979779 story
情報漏洩

流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 31

ストーリー by nagazou
課題が突きつけられる結果に 部門より
「GitHub」のソースコードがGitHubのCEOであるNatFriedmanを名乗る人物によって公開された。もちろん偽物だ。このソースコードは削除されており、web archiveに残っていたものもアクセスできなくなっている。なお本物のNatFriedman氏は今回の経緯について、数か月前に一部の顧客宛に誤って出してしまったことがあり、それがアップされたものだとしている(ResynthHacker NewsGIGAZINE)。

リポジトリの偽装については、もともとGitHubで課題とされていた「なりすまし」の方法が取られているという。GIGAZINEによれば、

手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

とのこと。ただ、この流出を機にGitHubをオープンソースにすべきという意見も強まっているようだ。

あるAnonymous Coward 曰く、

1100人にフォークされた模様

情報元へのリンク

14974529 story
プライバシ

チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 30

ストーリー by nagazou
悪用厳禁 部門より
headless 曰く、

チャット/メッセージングアプリのリンクプレビュー機能の問題点について、Talal Haj Bakry氏とTommy Mysk氏が18本のアプリを対象とした調査結果を公表している(Myskの記事Ars Technicaの記事9to5Macの記事Mac Rumorsの記事)。

リンクプレビュー生成方法は、送信側で生成・受信側で生成・サーバー上で生成の3種類。最も安全なのはリンクを生成しないことで、テストした中ではSignal(プレビュー無効時)/Threema/TikTok/WeChatが該当する。

比較的安全なのは送信側での生成だ。送信者がリンク先にアクセスすることは避けられないが、受信者はクリックしない限りリンク先ページにアクセスすることはない。テストした中ではiMessage/Signal(プレビュー有効時)/Viber/WhatsAppが該当する。ただし、Viberではプレビュー生成時のダウンロードサイズに制限がなく、バッテリーやデータを大量に消費するなどの問題が発生する可能性もある。

受信側での生成はクリックしなくてもリンク先へのアクセスが発生するため、攻撃者が悪用する可能性もある。テストした中では2本がこの方法だが、情報は非公表になっている。また、2本とも修正前にはデータサイズの制限がなく、Viberと同様の問題が受信側で発生していたとのこと。

サーバーで生成するのはDiscord/Facebook Messenger/Hangouts/Instagram/LINE/LinkedIn/Slack/Twitter/Zoomと非公表1本。この方法では非公開情報をサーバーが取得する可能性がある。中でもFacebook Messenger(画像と動画のみ)とInstagramは取得するデータサイズに制限がない。また、InstagramとLinkedInではサーバー上で任意のJavaScriptコードを実行可能だったとのこと。保存期間についてはSlackのみ30分程度と回答している。

LINEの場合、メッセージをエンドツーエンドで暗号化しているが、リンクはサーバーへ送られる。また、送受信者のIPアドレスをリンク先に送信していたという。LINEは報告を受けてIPアドレスの送信をやめたが、サーバーへのリンク送信は許容範囲内だと回答したそうだ。

14970393 story
情報漏洩

本レビューサイト「ブクログ」、2年弱ソースコード上にメールアドレスが表示された状態に 38

ストーリー by nagazou
公開していないものが公開 部門より
ブクログは10月21日、読んだ本の感想などを投稿できる同社のサービス「ブクログ(booklog)」で、本棚の公開設定をしている場合、利用者のページのソースコード内にそのページ利用者のメールアドレスが記載されていたと発表した(ブクログリリース)。

20日16時頃に利用者からの指摘を受けて発覚したという。リリースによれば、2018年12月25日に行ったサイト改修が行われた時点から、2020年10月20日に修正されるまでの期間、メールアドレスが表示される仕様になっていたとしている。なお本棚を非公開にしている場合はメールアドレスが表示されることはないとしている。
14969496 story
アメリカ合衆国

エドワード・スノーデン氏、無期限のロシア居留許可を取得 24

ストーリー by headless
居留 部門より
エドワード・スノーデン氏が22日、無期限のロシア居留許可を取得したそうだ(TASSの記事The Registerの記事)。

米国家安全保障局(NSA)のシステム管理者として勤務していたスノーデン氏は2013年6月にNSAの大規模な米国民監視を内部告発して訴追され、その直後にロシアへ渡航して滞在を続けている。2014年には3年間の居留許可を取得し、延長を繰り返していた。

スノーデン氏の弁護士によると、直近の居留許可は4月末が期限だったが、COVID-19パンデミックにより自動で6月15日まで延長されていたという。ロックダウンが終わってすぐにスノーデン氏は延長を申請しており、無期限の居留許可が下りたとのこと。

無期限の居留許可は永住許可も同然だが、現時点でスノーデン氏がロシアの市民権を申請する計画はないとのことだ。
14964901 story
国際宇宙ステーション

ロシアの宇宙飛行士、ティーバッグを使って国際宇宙ステーションの空気漏れ位置を特定 45

ストーリー by nagazou
パンク修理感ある 部門より
headless 曰く、

国際宇宙ステーション(ISS)の宇宙飛行士がティーバッグを用い、空気漏れの位置を特定したとTASSが報じている(TASSの記事[1][2][3][4])。

ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月9月に調査した結果、空気漏れはロシア側のズヴェズダサービスモジュールで発生していることが判明していた。

ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士が15日にロシアの管制センターへ報告したところによると、ズヴェズダサービスモジュールにティーバッグを浮遊させ、ハッチを閉じてティーバッグの動きをカメラで記録したそうだ。その後、ティーバッグの動きから空気漏れの方向を特定し、小さな裂け目が存在することを確認したとロスコスモスのイヴァン・ヴァグナー宇宙飛行士が報告している。

管制センターの専門家からの指示を受けてウレタンフォームと粘着テープを用いて仮補修したところ、翌16日には空気漏れレートが大きく低下したという。それでも空気漏れは依然として標準よりも高い状態が続いているようだ。そのため、より効果的な補修が必要だと2人は考えており、パートナー(NASAの宇宙飛行士)がもっといい補修材を持っていないか相談してみるとのことだ。

なお、現在のところNASAやロスコスモスのWebサイトに公式発表は出ていない。

追記 by headless: ロスコスモスは19日、空気漏れの仮補修を実施したことと本格的な補修に向けて準備していることを発表した。NASAもISSのブログ記事ロスコスモスのツイートにリンクして補修の話題に触れている。両者とも補修の簡単な紹介にとどまり、具体的な発見方法や補修方法には触れていない。

14956704 story
情報漏洩

Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 10

ストーリー by nagazou
一度流出したものは 部門より
headless 曰く、

9月に流出が話題となったWindows XPのソースコードだが、GitHubに転載されたソースコードをMicrosoftが削除するまでに10日を要したようだ(TorrentFreakの記事BetaNewsの記事)。

GitHubリポジトリにソースコードがアップロードされたのは9月28日(Internet Archiveのスナップショット)。Microsoft Security Insident ResponseのスタッフがDMCA削除要請をGitHubに送ったのは10月8日となっている。同じユーザーはWindows XPと同時にリークしたWindows Server 2003のソースコードもGitHubに転載しているが、こちらのリポジトリは日本時間12日0時過ぎの時点でもアクセス可能な状態だ。

Microsoftは結果として、流出したWindowsのソースコードを傘下のGitHubでホストしていることになる。元々torrentで流出したため簡単に止めることはできないとはいえ、Microsoftが流出をあまり問題視していないようだとTorrentFreakは評している。

14945280 story
情報漏洩

東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 38

ストーリー by nagazou
いくらなんでも情報公開が遅すぎるのでは 部門より
東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した(東映ビデオ)。

原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。

5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。

Dharma-store 曰く、

クレカ情報、1万件が流出か 東映子会社DVD販売サイトから
https://news.yahoo.co.jp/articles/906c73ffff8b815b3636d475d97cfa81a29a8306

というのは、まぁありがちな話かなぁとおもったら、

> 同社によると、昨年5月から今年5月までに同サイトでカード決済した人の
> カード番号、名義人の氏名、有効期限、セキュリティーコードが漏れた可能性があるという。

とのこと。セキュリティコードが漏れるって、わざわざ保存してたんでしょうか。
決済システムの仕様が分かりませんが、そんな恐ろしいことしてて良いんですかねぇ。

可能性としては、システムいじられてて、入力データがダダ漏れになってたということも
あるかもしれませんが、それにしてもセキュリティコードもってかれたらたまりません。

実店舗でも、最近は店員にカードを渡さない感じになってきたので有り難いのですが、
昔は裏面のセキュリティコードは修正テープで隠したりしてたものです。
ああ、マイナンバーカードもそうすればいいんじゃないの。>ナンバー隠してどうする。

とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら
正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
ああ、ショッカーもたんまりいいるんでしたっけ。

東映太秦映画村のイーッ!ところをショッカーがご紹介!!
https://www.youtube.com/watch?v=J-OYcziq_XU

14628832 story
国際宇宙ステーション

国際宇宙ステーションの空気漏れ、ロシア側のズヴェズダサービスモジュールで発生していることが判明 55

ストーリー by nagazou
老朽化ですかね 部門より
headless 曰く、

NASAとロスコスモスは9月29日、国際宇宙ステーション(ISS)で標準よりも若干高いレートで空気漏れが発生している問題について、空気漏れしているモジュールを特定したと発表した(NASAのブログ記事ロスコスモスのニュース記事)。

ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に全ハッチを閉じて調査が行われていた。8月の調査では米国側の米国・欧州・日本のモジュールで空気漏れチェックが行われ、9月はロシア側モジュールで空気漏れチェックが行われたようだ。クルーは次々とハッチを閉じて超音波リーク検出装置によるデータ収集を行い、データは米国とロシアの専門家により分析された。

その結果、空気漏れしているのはズヴェズダサービスモジュールであることが判明する。ロスコスモスによると8時間に1㎜(ママ)の速さで気圧が低下しているが、クルーやミッションに危険がおよぶことはないとのこと。現在、空気漏れ位置を特定するための調査が行われているそうだ。なお、2回の調査はともに、第63次長期滞在クルー3名がズヴェズダサービスモジュールに滞在して行われていた。

14450012 story
国際宇宙ステーション

国際宇宙ステーションの空気漏れ、再び調査 21

ストーリー by headless
難航 部門より
国際宇宙ステーション(ISS)の空気漏れについて、再び調査が行われている(NASAのブログ記事ロスコスモスのニュース記事)。

与圧されているISSで微量の空気漏れが発生するのは異常ではないが、現在は標準よりも若干高いレートになっている。8月に全ハッチを閉じて各モジュールの気圧変化の調査が行われたものの、原因は特定できなかったようだ。現在ISSに滞在中の第63次長期滞在クルー3名は8月と同様、ロシア側の居住棟ズヴェズダサービスモジュールに金曜日夜から月曜日朝まで滞在する。今回も全ハッチを閉じてミッションコントロールが各モジュールの気圧変化を調べ、空気漏れ増加の原因となっている場所の特定を試みる。ロスコスモスの発表によれば、クルーはロシア側にドッキングしている有人宇宙船ソユーズMS-16やプログレス補給船を含め、ロシア側モジュールのほとんどにアクセスできるようだ。
14432127 story
Windows

Windows XP/Server 2003のソースコードが流出か 41

ストーリー by headless
流出 部門より
流出したWindows XP/Server 2003のソースコードとされるものがオンラインで出回っているそうだ(The Vergeの記事BleepingComputerの記事Neowinの記事BetaNewsの記事)。

複数のファイル共有サイトで公開されているというtorrentファイルにはWindows XP/Server 2003のほか、過去に流出が報じられたWindows NT 4.0/2000のソースコードXbox/Windows NT 3.5のソースコードWindows 10 Shared Source Kitなども含まれており、合計サイズは43GBだという。また、ビル・ゲイツ氏に関する陰謀論の動画も含まれており、偽情報の拡散が目的とも指摘されている。アップローダーとされる4chanユーザーは数年前からハッカーの間で流通していたファイルをまとめたものだと述べているとのこと。

BleepingComputerによれば、別途Windows XP/Server 2003のソースコードのみを含む2.9GBの7zファイルも流通しているようだ。BleepingComputerではソースコードを見ても本物かどうかは確認できなかったと述べているが、The Vergeは本物だと確認したという。ただし、本物と断定する根拠については示されていない。Microsoftでは報じられた内容について承知しており、調査を行っているとのことだ。
14341724 story
情報漏洩

テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27

ストーリー by nagazou
むずかしい 部門より
複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している(高木浩光@自宅(テレワークを除く)の日記)。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
14319321 story
お金

野村證券の元社員が転職先に顧客情報を流す 43

ストーリー by nagazou
状況不明 部門より
野村証券は10日、元社員によって同社の顧客の取引情報が、競合他社である日本インスティテューショナル証券に流出していたと発表した(野村証券Bloomberg日経新聞)。

流出件数は法人顧客275社分の情報だという。野村証券と取引がある金融機関の上場投資信託(ETF)の取引状況などの情報が、今年の1~7月までの期間に複数回に渡って流出したことが分かっている。流出経路についても判明しており、野村證券にいた部長が元部下2名に情報を与えていたとされる。野村証券は法的措置を含めた対応も検討するとしている。

野村証券と日本インスティテューショナル証券は、情報の二次流出等は確認されていないとしている。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...