50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
「人生破壊のプロ」
松井博 Brighture English Academy 代表。趣味はウクレレとかハイキングとかDIYとか旅行などなど。在米20年。シリコンバレーに住みつつ、日本とアメリカとフィリピンで会社経営しています。最近は英語教育がライフワークになりつつある。 詳細プロフィールを表示 LA在住のカイラ・ロウズは、駆け出しの女優さんです。ある日、彼女は自宅のバスルームでちょっとポーズして自分の写真をスマホで複数回撮影。その中に乳首が露出している写真が1枚だけありましたが、そもそも誰に見せるつもりもない、ポーズ研究のための写真でしたから、自分のコンピュータに転送するとそのまま忘れていました。 それからしばらくのこと。親友からアルバイト中のカイラへと電話がかかってきたのです。彼女はその内容に愕然としました。「Is Anyone Up? 」というウエブサイトに、カイラの乳首が露出した写真が載っているという
米NSAの極秘計画「PRISM」が明るみに - 大手ウェブサービスの情報を多岐にわたって収集 - WirelessWire News(ワイヤレスワイヤーニュース)
米国家安全保障局(National Security Agency、NSA)によるベライゾン加入者の通話記録の収集が発覚したのに続いて、今度はアップル、マイクロソフト、グーグル、ヤフーなどあわせて9つのウェブサービスを対象に、ユーザーの電子メールや文書、写真、利用記録など多岐にわたる情報の収集を意図したNSAとFBIの計画が存在することが明らかになった。名指しされた各社からは一様に関与を否定する声明が出されるいっぽう、オバマ政権関係者からは「国内に居住する米国民をターゲットにしたものではない」との情報も出てきているようだ。 Washington Post(WP)が入手した同計画の資料には、マイクロソフト(Microsoft)、グーグル(Google)、ヤフー(Yahoo)、フェイスブック(Facebook)、アップル(Apple)、AOL、Skype、YouTube、PalTalkという具
リーナス・トーバルズ、セキュアブート鍵をカーネルに含めることを一蹴、曰く「おめーら、フェラ大会じゃねーんだぞ」
リーナス・トーバルズ、セキュアブート鍵をカーネルに含めることを一蹴、曰く「おめーら、フェラ大会じゃねーんだぞ」 まず、Red HatのDavid Howellsが、マイクロソフトによって署名されたセキュアブート鍵をカーネルに含めてくれるよう、MLで要請した。 ようリーナス。 このパッチセットをpullしてくんね? セキュアブートモードで動くカーネルに、鍵を動的に追加する機能。鍵をロードするには、新しい鍵はすでに持っていて、信頼されている鍵で署名されている必要がある。この「すでに持っている」ところの鍵は、カーネルに組み込まれているものや、UEFIデータベースにあるものや、あるいは暗号ハードウェアのものが含まれる。 で、"keyctl add"は署名されたX.509認証を受け付けるのだけど、マイクロソフトの署名サービスは、EFI PEバイナリしか署名してくれないんだ。 LKML: David
民間の個人情報売買解禁へ 政府、新事業創出を後押し - 日本経済新聞
政府が経済対策に盛り込む規制改革案が明らかになった。企業や病院などが持つ個人情報を匿名化したうえで他の企業に売買できる新ルールをつくり、新商品の開発や新規ビジネスの創出を後押しする。証券市場を活性化するため、企業が株式市場に上場する際に必要な情報開示の義務も緩和する。政府が30日に閣議決定する経済対策は、今年度予算の予備費を使った対策と、財政支出を伴わない対応策を組み合わせるのが特徴。約70項
iPhone 5に仕込まれたアフィリンクに携帯ショップの暗黒面を垣間みた件:CloseBox & OpenPod:オルタナティブ・ブログ
Mac、iPhone、iPod、歌声合成、DTM、楽器、各種ガジェット、メディアなどの情報・雑感などなど iPhone 5を地元(石神井)のauショップで購入。ウキウキして写真撮りながら家に帰ってきた。 iPhone 5の2画面目をあけると、見知らぬアイコンが4つ。とりあえずフォルダにまとめたら、「ブックマーク」の名前が。はて? アイコンの1つをタップすると、アプリではなくてSafariが開く。ほかのアイコンもほぼ同じURLを踏む。アフィリンクくさい。そこで設定アプリを立ち上げる。いきなり構成プロファイルの画面になっていて、「AFNET CONFIG」というプロファイルが仕込まれていることが分かる。 その中身は次の画面のとおり。4つのブックマーク(Webクリップ)が仕込まれているのだ。この構成ファイルはCAモバイルね。覚えておこう。 ネットで調べると、@no_softbank氏のブログに行
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
「クロスサイトスクリプティング対策」でGoogle検索して上位15記事を検証した
昨年の11月にブログエントリ『「SQLインジェクション対策」でGoogle検索して上位15記事を検証した』という記事を書いたところ、非常に好評で、「次はXSSについて書いてください」という要望をいただいておりました。中々XSSについては手がついておりませんでしたが、ようやく書いてみました。以下のURLで検索した結果の上位15位の記事を検証しました。 http://www.google.co.jp/search?q=クロスサイトスクリプティング対策&pws=0 検索結果は変動するため、私が検索した際の結果をEvernoteの公開ノートとして記録しています。 1~10位 11~20位 記事の「正しさ」の検証基準としては、IPAの「安全なウェブサイトの作り方改訂第5版」を参考に、最低限として以下が記述されているかどうかを確認しました。 HTMLのエスケープ処理を行う 属性値はダブルクォートで囲む
後付けでトラッキング機能が有効化されることについて、はてなとTwitterの場合 - 最速転職研究会
前: http://d.hatena.ne.jp/mala/20120308/1331193381 はてなのその後の話 http://hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463 話題になってからの対応が遅い、という人がチラホラいたけれど、別に対応はそれほど遅いというわけでもないと思う。 これは近藤さんがSXSWというイベントに行っていて日本にいなかったためで、収益にも影響する話なので即断できなかったのだろう。 こういう時にあとさき考えないで不良社員が勝手に広報したり、勝手に修正しても良いと思う(個人の感想です) 公平のため記しておくとHUG Tokyoというイベントで大西さんにおごってもらった(はてなの脆弱性をちょくちょく報告しています) Twitterの話 先日、Twitterが外部サイト上でのボタン、ウィジェットでト
ソースコードの脆弱性をチェックするツール、IPAが無償公開。C言語に対応
IPA(独立行政法人情報処理推進機構)は、 C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツール「iCodeChecker」を公開しました。無償で利用できます。 iCodeCheckerは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威についてのレポートを出力するツール。プレスリリースから引用します。 本ツールは、脆弱性やソースコード検査技術を学習したい学生や開発者を対象に、利用者自身が作成したソースコード(C言語)を検査することできます。 本ツールでは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威について解析したレポートを出力します。利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得することができます。 配布形式は、VMイメージ、パッケージ
【レアジョブ:重要】お客様の個人情報流出の可能性に関するお知らせ
個人情報保護宣言 個人情報保護宣言 個人情報に関する公表事項 プライバシーポリシー 株式会社レアジョブは、多くのお客様に英会話レッスンを楽しんでいただく中で、お客様や英会話講師、そして当社スタッフなど、多くの個人情報を取得して取り扱います。 これら個人情報の管理は、サービスを安心して利用いただくための基礎であり、重要かつ守秘性の高いものとして適切に取り扱うため、当社が事業の用に供するすべての個人情報を適切に保護することを社会的責務として定め、 そのためのルール及び体制を「個人情報保護マネジメントシステム」として構築し、個人情報保護の活動に取り組んでいくことを宣言いたします。 1. 個人情報の取得・利用・提供について インターネットを通じたオンライン英会話事業の中で、適切に個人情報を取得するとともに、予め定めた利用目的の範囲内でのみ個人情報を取り扱い、目的を超えた個人情報の利用をせず、そのた
Shibuya.XSS アウトラインメモ
Shibuya.XSS テクニカルトーク#1 : ATND に参加してきたので、その時のメモ。 Shibuya.XSS Shibuya.XSSまとめ – Togetter DOM Based XSSの傾向と対策 – mala Shibuya.XSSで発表してきました – 金利0無利息キャッシング – キャッシングできます – subtech 機械的なスキャンで見つけづらいXSS location.hash経由で発火が多い、 サーバ側にアクセスログが残りづらい ビーコンでlocation.hashを記録する事も可能だけど、実行順序で潰される事がある location.hashでの問題 XHR2 どんな時に見つけにくい パラメーターをパースして利用してる場合 ソースを読まないと見つけにくい。 難読化されてるとしんどい レガシーコード どうするのがいいのだろうか バリデーション? バリデーション
malaさんや高木浩光さんのインターネット・プライバシー問題における動きの感想 : 状況が抉る部屋
2012年03月10日08:51 malaさんや高木浩光さんのインターネット・プライバシー問題における動きの感想 カテゴリインターネット 最近のmalaさんや高木浩光さん(Twitterアカウント)をTwitterなどで拝見させていただいて、まとまった感想があったので、ブログ書く。この文章は特に何か新しい見解や、問題提起をしたいわけではない。ただの感想です。僕はインターネット広告代理店でプランナーをしていたことがある。当時、僕はmalaさんや高木浩光さんのようなインターネットにおけるプライバシー問題について、警告を発している技術者の人を知らない、ただのインターネット広告屋だった。 この文章を書く上で、事前に断っておきたいのは、僕がインターネット広告代理店で働いていたのは4〜6年前なので、今現在のところはどうなのかはわからない。 当時、インターネット広告メニューの流行りとして、個人の属性に強
【Twitter実験】つぶやきだけで個人を特定できるのか? | オモコロ
こんにちは、セブ山です。 みなさんはTwitterでどんなつぶやきをしていますか? おそらく、今日の予定をつぶやいたり、ランチの写真をアップしたり、あなたの「今」を仲の良い友達に向けてつぶやいていることでしょう。 しかし、本当にそのツイートはあなたの友達だけが見ているのでしょうか? もし、知らない誰かにあなたのつぶやきを覗かれていたとしたら…? つぶやいた内容を手掛かりに個人を特定されてしまうかもしれませんよ!? 今回は、そんな個人情報垂れ流し社会に警鐘を鳴らす実験をおこないます!! ■ルール説明 1.Twitterの検索機能を使って「渋谷なう」とつぶやいているアカウントを探します。 2.「渋谷なう」の検索結果をもとに、さらに詳細な個人情報を垂れ流しているアカウントを割り出します。 3.そのアカウントのつぶやきをこっそり監視して、個人を特定し、実際に捕まえるためにハンター(セブ山)が渋谷の
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
高木浩光@自宅の日記 - パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性
■ パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Interactive Reading Community (Ver.6)
メールの暗号化 - とみたまさひろ - Rabbit Slide Show
BLOGOS サービス終了のお知らせ
