[B! security] [2ページ] djsouchouのブックマーク

Engadget | Technology News & Reviews

A Minecraft Movie trailer gives us our first look at Jason Momoa and Jack Black ahead of its 2025 release

djsouchou 2022/01/04

ミズーリ州知事、単的にバカなのでは

リンク

GitHub - YfryTchsGD/Log4jAttackSurface

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

djsouchou 2021/12/11

リンク

スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中

むぎ @tr_mugi クレカ不正利用されたんですが、スイパラさんクレカ情報漏れてたりしません？それ以外考えられないんですが、、、、、、、、、、そのほかはいつも利用してるところしかないので、、、 2021-12-06 23:22:22 むぎ @tr_mugi やっぱりスイパラに問い合わせます……1人の声じゃどうにもならないと思うんですが、カード会社には被害額の四万払ってくださいとか言われてしまったので、悔しすぎるので問い合わせるだけ問い合わせます。もし最近クレカの不正利用に遭われた方いらっしゃいましたら、教えていただけますと幸いです。 2021-12-09 21:46:35 八尋 @yhr__k 昨日クレジットカードの不正利用あって、Twitterでスイパラ通販利用した方が何人か不正利用のツイートされてたから念のためとりあえず問い合わせ送ってみたら早速電話きて、そういったことは今のところは

djsouchou 2021/12/10

スイパラが使ってるEC-CUBEのバージョンが古くてそこの脆弱性を突かれてる、と云う話を目にした

リンク

「起きたら全て消えていた」　Discordで横行する“サーバー凍結荒らし”、1万人参加サーバーが一夜で消えたその手口

※本記事はアフィリエイトプログラムによる収益を得ています 1万人以上の利用者がいた、国内の大手Discordサーバー（※）「Twitter2」が、悪意ある第三者の攻撃によって11月に凍結されていたことが分かりました。管理人のにゃるらさんに話を聞いたところ、かなり巧妙な手口で凍結させられており、場合によっては「防御不能」となることも。今後への注意喚起の意味も込め、どのような手口が使われたのかをまとめました。 ※同じ趣味を持つ人たちが参加するグループのようなもの決まればガード不能、“荒らし”が使った手口とは今回凍結させられた「Twitter2」は、ライターのにゃるらさん（@nyalra）が2021年の1月に立ち上げたDiscordサーバー。にゃるらさんは以前からTwitterで「だれも社会や政治の話をせず、毎日みんなでアニメを観たりゲームをしたりして1日がおわるマジで楽しいSNS（＝Twi

djsouchou 2021/12/10

これ、nitroに課金してるユーザーは笑えないんじゃないか？

security
sns

リンク

LINE Pay、約13万人の決済情報が「GitHub」で公開状態に　グループ会社従業員が無断アップロード

LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子（LINE IDとは異なる）、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認

djsouchou 2021/12/07

ガチヤバインシデントだ

リンク

指紋認証は500円あれば作れる「偽指紋」で簡単に突破できることを示すムービー

PCやスマートフォンの認証方法として指紋認証を利用している人も多いはず。しかし、実は指紋認証は本人不要・指紋で汚れた端末の写真さえあれば、5ドル(約550円)程度で作成した「偽指紋」で簡単に突破できてしまうことが、ムービーで示されています。 Your Fingerprint Can Be Hacked For $5. Here’s How. - Kraken Blog https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/ 指紋がいかに簡単に偽造できてしまうのかは、以下のムービーを見るとよくわかります。 Kraken Security Labs Bypasses Biometric Security With $5 In Materials - YouTube PCやスマートフォン

djsouchou 2021/11/25

なるほど、だからヤクザは責任取らせる際に指を切断させたがるのか（違う）/指紋認証自体は便利なのでこれからも使う

リンク

PayPalの残高が勝手に出金される不具合が発生。25日現在は大部分で回復済み - AndroPlus

この記事の賞味期限は切れています。掲載内容や情報が古い可能性があります。広告あり PayPalの残高が勝手に出金されてしまう不具合が発生していました。事前告知なしで出金されてしまう 2021/11/23午前頃より、PayPalの日本アカウント (プレミア・ビジネス) において残高がゼロになっている、身に覚えがない出金がされているという報告が相次いでいます。これは「ウォレットに登録してある先頭の銀行口座に、残高が全額勝手に出金されてしまう」という不具合が原因です。残高が消失したわけではないのでまだ安心ではありますが、各通貨ごとに合算されることなく出金されるためそれぞれ割高な手数料・通貨換算費がかかることになってしまいます。【11/24追記】どうやら他人の口座 (過去の送金先) に引き出されてしまう場合もあるようです。私の場合はWiseを登録していたため着金が速く気が付きましたが、

djsouchou 2021/11/24

PayPal止めるとBandcampでの人権を失うので止められない

security

リンク

AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている

多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon

djsouchou 2021/11/05

色々考えるなー

security

リンク

中国製の携帯電話に検閲機能、リトアニア政府が不買・処分を勧告

９月２１日、リトアニアの国防省は、国民に対して中国の携帯電話を購入しないよう呼び掛けるとともに、既に保有している場合は処分するよう勧告した。中国シャオミの携帯電話、バルセロナで２０１９年撮影（２０２１年　ロイター／Rafael Marchante）［ビリニュス　２１日　ロイター］ - リトアニアの国防省は、国民に対して中国の携帯電話を購入しないよう呼び掛けるとともに、既に保有している場合は処分するよう勧告した。

djsouchou 2021/09/23

Mi Band買おうと思ってたんだが…

リンク

Instagram、ヘイト対策で3つの新機能　非フォロワーと最近のフォロワーの制限機能を全ユーザーに

米Facebook傘下のInstagramは8月10日（現地時間）、プラットフォーム上のヘイト行為（いじめや嫌がらせ）を減らすための3つの新機能を発表した。テスト段階で紹介されていたものもあるが、正式機能になる。いずれも日本を含む世界でロールアウトする。自分をフォローしていないあるいは最近フォローしたばかりの人からのDMリクエストとコメントを一定期間制限する機能嫌がらせになる可能性のあるコメントを投稿しようとすると警告する機能の強化 DMリクエストとコメントに表示したくないワードや絵文字を非表示にする機能フォローしていない、あるいは最近フォローした相手を制限する機能「抑制」 Instagramは2月、それまでビジネスアカウントとクリエイターアカウントにのみあった、フォローしていない人からのDMをオフにするオプションを全ユーザーに提供すると予告した。1月に英国の熱狂的なサッカーファンが

djsouchou 2021/08/12

リンク

ＰａｙＰａｙ詐欺払ってないのに決済音だけ聞かせ・・・店側の盲点｜TBS NEWS

電子決済サービス「ＰａｙＰａｙ」のアプリを悪用し、決済が完了したように見せかけて商品をだまし取ったとして、飲食店経営者の男が逮捕されました。「ペイペイ！」この音を利用して、今回の事件は起きました。詐欺の疑いで逮捕された飲食店経営者の高橋拓也容疑者（３１）は去年８月、埼玉県三郷市内のディスカウントショップで実際には代金を支払っていないにもかかわらず、電子決済サービス「ＰａｙＰａｙ」で支払ったように見せかけ、食料品などおよそ８２００円相当をだまし取った疑いがもたれています。「ＰａｙＰａｙ」で支払う際、客がスマートフォンで店のＱＲコードを読み取ったうえで購入額を入力し「支払いボタン」を押すと、決まった「決済音」が鳴って支払いが完了しますが、高橋容疑者は「支払いボタン」を押さず、あらかじめ用意していた「決済音」をスマホで鳴らし、支払ったかのように見せかけていました。警察によれば、店側は決済

djsouchou 2021/07/28

詐欺のタネにされる位普及してる（ので何らかの脆弱性がある可能性がある）のと、実行した奴が間抜けなのは別の話ですよね

リンク

プレスリリース情報発表前に250点が流出不正アクセス受け | NHKニュース

インターネットでのプレスリリースの配信などを請け負っているPR会社「PR TIMES」の管理システムが不正アクセスを受け、合わせて13社の発表前のプレスリリースのデータ250点余りが外部に流出していたことがわかりました。東京港区のPR会社「PR TIMES」によりますと、今月5日、PRを依頼されている企業から「発表前の情報がSNSに投稿されている」という報告が寄せられたため調べたところ、管理システムが不正にアクセスされ、発表前のプレスリリースの情報がダウンロードされていたことがわかったということです。詳しく調べた結果、ことし5月4日から今月6日にかけて合わせて13社分のプレスリリースの画像データや文書250点余りが不正に取得され、外部に流出していることが確認されたということです。いずれも発表前の情報だったということです。会社によりますと、今回の不正アクセスは、システムの設計上のぜ

djsouchou 2021/07/18

そういうPRはいいです

security
NHK

リンク

「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について

（2022年9月26日追記）本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報（フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件）が外部流

djsouchou 2021/05/21

地味にnoteと同じ失敗してるな

security

リンク

Hiromitsu Takagi on Twitter: "識別符号（アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード）がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU"

識別符号（アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード）がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU

djsouchou 2021/05/18

まあ、現状致し方無いのかな/それはそれとして、件のシステムと防衛省の態度がクソなのは変わらないし擁護する義理もない

リンク

Clubhouse Data Leak - 1.3M SQL Database Leaked Online | Cybernews

So far, it seems like it’s been the worst week of the year for social media platforms in terms of data leaks, with Clubhouse seemingly joining the fray. Days after scraped data from more than a billion Facebook and LinkedIn profiles, collectively speaking, was put for sale online, it looks like now it's Clubhouse’s turn. The upstart platform seems to have experienced the same fate, with an SQL dat

djsouchou 2021/04/12

リンク

【緊急】複数の日本企業さん、Trelloを公開設定のまま利用してしまい就活生の個人情報がダダ漏れ状態に : IT速報

site:trello.com 採用○○で検索するととんでもないなこんなおっ広げで人の情報管理してるんか？ヤバすぎやろ

djsouchou 2021/04/06

なお、限界ECサイトは生のcsvをディレクトリに置く（この件はそれよりも酷いが）

security

リンク

twitterアカウント@yanmaが乗っ取られた(解決編) - yanma

字下げ.icontwitterアカウント@yanmaが乗っ取られた件について、2021年4月4日1時5分にtwitterから連絡があり、アカウントが復旧した。ずいぶん広く拡散されているようで、解決の経緯を知りたい方も多いと思われるため、ここにまとめておく。

djsouchou 2021/04/05

こういう時、ツイッタージャパン株式会社（単なる広告代理店）の存在意義について考えるよね

リンク

5.33億人のFacebookユーザーの電話番号を含む個人情報、犯罪フォーラムで公開

米Facebookの日本を含む世界のユーザー5億3300万人の個人情報が、誰でもアクセスできるサイバー犯罪フォーラムで公開されていると、米Recordなど複数のメディアが4月3日（現地時間）に報じた。Facebookはメディアに対し、「これは2019年に報告された古いデータで、このデータが流出した原因の脆弱性は同年8月に修正済みだ」と語った。データは国別にダウンロードできるようになっており、日本のデータは42万8625人分だ。フォーラム上で公開されているデータには、Facebookユーザーが「基本データ」に登録したもので、例えば携帯電話番号を非公開設定にしていたとしても含まれている。 2019年に流出した個人データは同年9月、誰でもアクセスできるデータベースに保存されていた。このデータベースはその後アクセスできなくなったが、今年1月にはTelegramのbotでFacebookユーザー

djsouchou 2021/04/04

FBに住所登録してなくて良かった

リンク

twitterアカウント@yanmaが乗っ取られた - yanma

字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。