Boothの同人音楽ネットイベント「Apollo」で人のアカウントに意図せずログインできて人のクレカで買い物までできてしまっていたらしい件まとめ(1)

問題の概要 Pixivの主催する同人誌委託・通販・DL販売サイト「Booth」 https://booth.pm/ で 2014年11月28～30日限定の同人音楽専門ネットイベント「Apollo」 https://booth.pm/apollo/ が 開催されているまさにその最中の29日18時頃、 「気付いたら自分のアカウントじゃないアカウントにログインできている」 「アカウント情報見たら他人のだった」 「カートに入れてたものが消えた」 「カートに入れた覚えのないCDが入ってる」 「買った覚えのないCDのカード決済通知が来た」 「アカウント見たら知らない人のカード情報が見れてしまった」 などの不具合がtwitterでつぶやかれるようになり、 その後すぐにBoothもApolloもメンテに入りました。 pixiv(Booth)の対応 pixiv(Booth)のその後の発表では、 Apollo

[wideangle]

pixiv社、これやらかしたんだったら、クレカに限らず何らかの決済を伴うことなんか二度とやっちゃまずいんじゃ……

[weekly_utaran]

これ、BOOTHどころかPixivという会社自体がしばらく、状況によっては二度とクレジットカード決済がNGになりますよ・・・・・

[nisemono_san]

以外とセッションとアカウント周りってテストしていないことが多いので、さもありなんとは思うけど、決済できるサービスではアウトだなあ……

[peketamin]

これ仕上げたエンジニアはもし連続的な徹夜とか理不尽な納期を要求された上でのなら「これからは無茶は止めることですね」ぐらい言ってもいいと思う。無茶がなければ単純にエンジニアのミスだけど。

[jgoamakf]

オンラインショップの利用者としても、ソフトウェアエンジニアとして他山の石的に考えても、凄く恐い。

[myrmecoleon]

同人誌即売会気分で買い物してたらいつの間にか自分の中身が他の人と入れ替わってた的感覚が味わえるのはBOOTHだけ！

[rakusupu]

金曜ust見てて、会期中もアップデートしていきますとか言ってて、テストしなくて大丈夫かと思ったが、やっぱりだめだったか。設計段階での見通しが相当甘かったんだなとしか

[dowhile]

boothはpaypalで払えるようにしてほしい。それが唯一の解決策

[tailtame]

運営pixiv社なのか。一度購入してメール来なかったことあるから使いたくないが通販側がここばかりに… /☆1後/ 100万円意見が臭いからすでに不正送金発生疑惑あるん？

[yoiIT]

表沙汰にはならなかったが、他のサイトでも同様のバグがあったの何件か知ってる。恐ろしい。

[cat2151]

BOOTHってこのまえTLで出てたクレカ漏れ事件のあそこだっけ。今のセキュリティ強度はどんなもんかのう

[hattoushinha]

またか

[gnt]

クレジットがキャッシュがデフォルトで社のクレジットが残高ゼロ

[cubed-l]

キャッシュか…

[C_L]

セッションとキャッシュ（リバースプロキシ）って相性悪くて一回事故起こさないと身につかない系のバッドノウハウが山ほど

[north_korea]

気づいた瞬間冷や汗止まらなかっただろうな｜しかしどういうキャッシュしたらこんなことになるのか

[elve]

こわやこわや

[ScarecrowBone]

儲かってんだろうからまともな技術者雇えよ…

[linus_peanuts]

pixivって、作品だけじゃなくてカードとか個人情報とかもパクり放題なんだー(間違った認識

[ngyuki]

キャッシュ用のリバースプロキシで Set-Cookie までキャッシュしたとかそういうことだろうか

[kamipo]

Cookieがキャッシュされて他のリクエストと共有されるってどのレイヤーでキャッシュしたらそうなるのか気になる

[kako_cocoro]

閲覧・変更された可能性のある情報が怖すぎ　http://www.pixiv.net/info.php?id=3030

[zoidstown]

＞ユーザー情報にキャッシュをかけるのは基本ご法度ですぞ

[a96neko]

他人になりすまして買物が出来る状態だったんだ

[Sore_0]

同様トラブルでいえば、以前プロバイダー(ぷらら)がキャッシュシステムを更新して、複数サイトで他人のアカウントになって見えたことがあった。狭い世帯でのみ起きたから大きくはならなかったがアレの対応は糞やた

[whiteball22]

( ；´Д｀)

[motchang]

セッションまわりにキャッシュが入ってて、他のユーザーのキャッシュが見えちゃったりしてたのかー。こわいこわい。

[pmint]

システムはもう何年目かになるのに、なんで今なんだろ。今までもちょくちょく発生してたんだろうか。/ と思ったらようやく1年経とうとしてるところだった。

[toratorarabiluna273momomtan]

pixiv

[whkr]

おれがあいつであいつがおれで

[uturi]

イラストSNSってpixiv以外はパッとしないとこが多いから、クレカが使えなくなる程度でユーザーはあまり離れていかないんだろうなぁ。この辺のバグの原因が詳しく知りたいところ。

[TM2501]

pixivでなんでいつもやらかす時はこうも派手なんだろうか？

[kirte]

セッションIDの生成がゴミで衝突でもしたか こうなるサイトたまにあるけど、金からむ所でこれをやっちゃうのはなぁ / この辺の処理をライブラリ使わず自前で作ったんだろうか

[txmx5]

ヒィ

[at_yasu]

なんだこれ、どういうbugなんだろ。割と気になる。

[rti7743]

セッション管理がバグっちゃったのかな。バグ修正と履歴解析してごめんね準備とかで中の人は大変そう。

[egpehcbd]

いやいやいやいやいくらなんでもこれは

[ilya]

2014-11-29