XCOM GLOBALの情報流出事件でrobots.txtが話題に 20
ストーリー by hylom
色々なサイトをチェックしてみよう 部門より
色々なサイトをチェックしてみよう 部門より
insiderman 曰く、
XCOM GLOBALからクレジットカード情報を含む10万件の個人情報が流出した事件では、SQLインジェクション攻撃によって情報が抜き取られたという話になっているが、これに関連して同社Webサイトのrobots.txtが酷いという話が出ている。
ともちゃ日記が詳しいが、サーバーには「INSTALL.txt」や「LICENSE.txt」などの無駄なファイルが配置されており、しかもご丁寧にrobots.txtでこれらのファイルに対し「Disallow」が指定されている。これらを参照することで使っているCMSやそのバージョンなどの情報がうかがい知れてしまうほか、色々とサーバーの情報がうかがい知れる設定になっているという。これだけでなく、.htaccessの設定についても不適切なものになっているようだ。
robots.txtは多くのWebサイトで設置されていると思うが、CMSが自動的にこのファイルを作成し、その結果余計な情報が公開されてしまうというパターンも割とありそうだ。とりあえず心当たりのある皆様はrobots.txtの内容を再度確認してみよう。
それ以前に (スコア:2, すばらしい洞察)
見られて困るものをウェブサーバー上で見えるようにしておくのがおかしいだろ。
Re: (スコア:0)
公開してるけどロボットには収集されたくない物
→ robots.txt
そもそも公開するつもりがないもの、見られては困る物
→ .htaccess等で見えないように設定する(△)
document root以外に置く(○)
消す(◎)
カートがあるサイトは別だろ。 (スコア:0)
http://www.xcomglobal.co.jp/info/ [xcomglobal.co.jp]
この度、当社が運営する「GLOBALDATA(http://www.globaldata.jp/)及びGlobal Cellular(http://www.globalcellular.jp/)」(以下、「本サイト」といいます。)のウェブサーバーに対して、外部からの不正アクセスがあり、クレジットカード会社認定の第三者機関である専門調査会社「Payment Card Forensics株式会社」(以下、「PCF」といいます。)で調査を実施いたしました。
これ両方Drupalじゃないけど。
Re: (スコア:0)
それが今回の流出の原因になったって話じゃ無くて、噂の会社周りをごそごそ探ってみたら他にもボロが出てきたよって話ね。
Re: (スコア:0)
globaldata の申し込みフォームにジャンプすると結局 www.xcomglobal.co.jp の Drupal が生成してるっぽいフォームにたどり着くので、別とは言い切れないんじゃないですかね。
マイページがどうなのかは諸々登録しないとわからないので見てませんが。
Re: (スコア:0)
> globaldata の申し込みフォームにジャンプすると結局 www.xcomglobal.co.jp の Drupal が生成してるっぽいフォームにたどり着くので
どれのこと?
https://www.xcomglobal.jp/xCloud/jp/ [xcomglobal.jp]
以下へ飛ぶフォームなら違うね。誰が作ったカートを埋め込んでるのかわからないけど。
その前に「ともちゃ日記」 http://tomocha.net/diary/?20130527 [tomocha.net]
は2006年(7年前)に開発止まってるCGI使ってて、しか
Re: (スコア:0)
【2.19.8以前に含まれる webif.cgi には XSS脆弱性が存在しました。】
リリースノート (hns - 2.19.9) - HyperNikkiSystem Project - SourceForge.JP http://osdn.jp/projects/h14m/releases/22597/note [osdn.jp]
「ともちゃ日記」 > hns-2.19.6
Re:カートがあるサイトは別だろ。 (スコア:3, 参考になる)
Re: (スコア:0)
苦しい言い訳だな。
まさか、開発止まってるから安定してるとかいうんじゃないよね。
Wikiで動いてるPHPもEOLが終わった5.2.9だし、サポート切れた古いOS動いてるんじゃない?
ECカートと関係ないサイトの的はずれなrobots.txtで騒いだりする前に、
まず7年放置されてるスクリプトからどっか他へ移行しなよ。
正に! (スコア:0)
full disclosure ですね
#こんな full disclosure いらない。
Re: (スコア:0)
何が正に!なのか意味がわからんが
高木先生やら徳丸先生にチクってWhiteHouseのオバマ大統領とそのセキュリティチームに忠告してあげて。
日本のセキュリティ意識の高さを見せつけてやろうぜ。
http://www.whitehouse.gov/robots.txt [whitehouse.gov]
Re: (スコア:0)
ディスインフォメーションでわざとそういうの書いておいたら何か利益あるかな?
何となく的外れに感じる (スコア:0)
> しかもご丁寧にrobots.txtでこれらのファイルに対し「Disallow」が指定されている。
たしかにこれは「設置者が理解してない」感が濃いけど、
> サーバーには「INSTALL.txt」や「LICENSE.txt」などの無駄なファイルが配置されており、
これってそんなに変?
俺、Wordpress等のCMSをDLして来てそのまま(ローカルで編集せずに)サーバに展開した際は、
LICENSE.txtは消さずに置いとく事が多いなぁ。と言うか、わざわざ消す気にならない。
その階層にはCMSの構成ファイル以外置かないし、大してサイズ無いし、
Re:何となく的外れに感じる (スコア:1)
別にあっても問題無い範囲だし、README.txtがあったって別に困らないでしょうけど
仮にもpublicなサーバなんだから「無駄なものは絶対置かない」ぐらいの意識がないから
こういうことが起きるといういい例なんじゃないですかね
変じゃないし、実害ないだろ、的な「俺わかってるから」みたいなのばかりいると
こういう痛い目を見るという教訓にしたらどうでしょう?
そもそも検索エンジンがrobots.txtを無視している (スコア:0)
A description for this result is not available because of this site's robots.txt – learn more.
例えばGoogleだとこんなメッセージが表示される
robots.txtで禁止しても無視されるから、秘密にしておきたいURLが普通に検索結果に表示されてる
ウェブマスターツールとかを使ってURLを削除依頼しないといけなくなってる
Re: (スコア:0)
よく分からないんだけど,上の例って robots.txt を無視しているの?
(そもそも robots.txt って URL を秘密にしておくためのものではないよね。)
Re: (スコア:0)
というかこの件がまさにそうであるように、書かなければバレなかったであろうURLをわざわざ自らバラしているようなもの。
カートのフォームは【フォームアシスト】 (スコア:0)
情報漏えいしたとされているサイト
http://www.globaldata.jp/ [globaldata.jp]
http://www.globalcellular.jp/ [globalcellular.jp]
から飛ばされるカートフォームは【フォームアシスト】を使ってる臭いな。
EFO|入力フォーム最適化で反響アップ【フォームアシスト】 - 株式会社ショーケース・ティービー
http://www.showcase-tv.com/formassist/ [showcase-tv.com]
現在は決済代行会社へのリダイレクト方式に変えたとある。
不正アクセスによるお客様情報流出に関するお知らせとお詫び
http://www.xcomglobal.co.jp/info [xcomglobal.co.jp]
攻撃されたことにして被害者として振舞ってるのはおかしい。 (スコア:0)
どうやって漏れたかをエクスコムグローバルは公表しないと。
PR一本で済ませる規模の被害じゃないんだから、記者会見は必要でしょう。
攻撃されたことにして被害者として振舞ってるのはおかしい。
内部の人為的な漏洩かもしれないのに。
結局CMSもrobots.txtも漏洩に関係ないようだ。
これみても
「ログ調査の結果、同社が運営する「GLOBALDATA」と「Global Cellular」のWebサーバに対して外部から
SQLインジェクション攻撃があり、サーバに保存されていた顧客情報が流出した証跡が発見された。」
とある。
CMSの本社サイトもすべてIPが別だな。
サーバに保持のセキュリティコードなども流出:エクスコムグローバル、SQLインジェクションで約11万件のクレカ情報流出 - @IT
http://www.atmarkit.co.jp/ait/articles/1305/27/news126.html [atmarkit.co.jp]