メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
システム管理をしていた元社員による社内データ削除事案についてまとめてみた - piyolog
2023年1月24日、警視庁は退職後に男が元勤務先のデータの削除を行ったとして不正アクセス禁止法違反と電子計算機損壊等業務妨害の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 退職時に社内システムの認証情報を持ち出しか 容疑は不正アクセス禁止法違反と電子計算機損壊等業務妨害。男は2022年6月4日、自宅近くの喫茶店のWifiに接続し、以前に勤務していた都内の電気計器メーカーの元同僚のIDを使って、元上司のPCを遠隔操作し、社内ネットワークやクラウドサービスに不正ログイン。サーバー上で保管されていたデータを削除することで同社の業務を妨害した疑いがもたれている。*1 *2 男は取り調べに対して「自分は行っていない」と容疑を否認している。男は社内で人間関係の悪化(元同僚とのトラブルと報道)を理由に2021年12月に同社を退職しており、警視庁は同僚らへの嫌がらせを目的に行ったとみ
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
デモ(疑似体験)取引キャンペーンの登録情報(個人情報)が漏えいした件について - DMM FX
弊社では仮想資金を用いて外国為替証拠金取引(FX)を疑似体験していただくサービス(以下、デモ取引)において、一定期間内の取引成績に応じて賞品をプレゼントするキャンペーン(以下、デモ取引キャンペーン)を実施しておりますが、2019年2月以降に開催いたしました3回のデモ取引キャンペーンにご参加いただいたお客様の「メールアドレス」と「登録時のIPアドレス」の2点が、一般ユーザーの方がアクセスする場所ではないものの、インターネット上で閲覧できる状況となっていたことが判明いたしました。 弊社は、2020年8月14日(金)20時45分頃、本事象を発見しましたが、その後、直ちに調査を行い、閲覧可能となっていた当該情報の消去を行っております。 なお、デモ取引キャンペーンの賞品プレゼントに利用されるその他の情報(氏名、住所、銀行口座情報)や、【DMM FX】(実際の法定通貨を利用したFX)関連の個人情報は守
【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社
経緯と再発防止策について追加のご報告をいたしました。くわしくはこちらをご覧ください。https://note.jp/n/naf3775e93a58 (2020年8月14日 22:33追記)noteサービスにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまう不具合が存在していました。 なお、一般的なIPアドレスから、個人情報を特定することはできません。 現在は、該当部分を修正し問題なくご利用いただける状態です。ご迷惑をおかけして、大変申し訳ありませんでした。 今回の不具合により、名誉毀損などの被害をこうむったクリエイターに対しては、ご本人と連携して法的措置を含めてnote社がサポートいたします。 以下、発生内容と今後の対策についてご報告します。 IPアドレスとは? インターネットでの通信先の情報です。一般的にはIPアドレスは地域や建物、組織で同一の値が共有され
ご報告とお詫び 「Qiita」「Qiita Jobs」におけるユーザー情報の取り扱い不備について - Qiita株式会社
ご報告とお詫び 「Qiita」「Qiita Jobs」におけるユーザー情報の取り扱い不備について各位 Increments株式会社(本社:東京都港区、代表取締役社長:柴田健介、以下「弊社」)の運営するプログラマー向け情報共有サービスQiitaのユーザーページ(以下「ユーザーページ」)において、本年3月25日にリリースした新機能に関し、Qiitaのユーザー様をはじめとする皆様にご心配・ご迷惑をおかけし、誠に申し訳ございません。 本件の事実関係については、弊社内で調査を進める中でQiita Blogにおいてもお知らせしておりましたが、事実関係の確認を行った結果につきまして、判明した事実を改めてご報告いたします。 本年3月25日にリリースした新機能は、ユーザーページにおいて、ユーザー様が閲覧されたQiita内の記事に付されたタグのうち出現割合が高かったもの上位5つ及びその割合を、「読んだ記事」と
なぜ「逆転有罪」に? コインハイブ裁判、東京高裁が無罪判決を棄却した3つのポイントを解説
運営するサイトにマイニングソフト「Coinhive(コインハイブ)」を設置したとして、Webデザイナーのモロさんが不正指令電磁的記録 取得・保管罪(通称:ウイルス罪)に問われている裁判で2月7日、東京高等裁判所は一審での無罪判決を破棄し、モロさんに罰金10万円の支払いを命じる有罪判決を言い渡しました。なぜ高裁は逆転有罪の判断を下したのか、判決文を解説します。 家宅捜索を受けた際に公開された被告・モロさんのブログ(ブログより) 事件のあらまし サイト訪問者のPCのCPUを使ってWebブラウザ上で仮想通貨をマイニング(採掘)させる「Coinhive」を設置したとして、複数の検挙者が出た本事件(通称:コインハイブ事件)。ねとらぼでは1月30日に「なぜコインハイブ『だけ』が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満」との記事を、2月16日に「『お前やってることは法律に
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
How Secure Is My Password?
How long it would take a computer to crack your password?
Azure AD と AD FS のベスト プラクティス: パスワード スプレー攻撃の防御
この攻撃パターンは、個々のユーザーまたは企業から見ると、それぞれが別々のログイン失敗のように見えるため、ほとんどの検出手法 (例えばロックアウトなどの設定) をすり抜けてしまいます。 攻撃者にとっては数字を当てるナンバーズの宝くじのようなもので、攻撃者はよく当たりそうな最も一般的なパスワードをいくつも知っています。これらの最も一般的なパスワードを使用しているアカウントは全体の 0.5 〜 1.0% 程度ですが、1000 個ほどアカウントがあれば、数個は攻撃が成功するため十分効果的です。 攻撃者は、ログインが成功したアカウントを使用して電子メールからデータを取得し、連絡先情報を収集したり、フィッシングのリンクを送信したり、さらにパスワード スプレーの標的を広げようとします。 攻撃者は、最初の標的が誰であるかについては気にせず、最初の成功をきっかけにその後どれだけ攻撃を広げられるか試していきま
全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG
はじめまして。2019年1月に入社したSREスペシャリストのsonotsです。最近MLOpsチームのリーダーになりました。今回の記事はMLOpsの業務とは関係がないのですが、3月に弊社で実施した会社用GitHub個人アカウントの廃止について事例報告します。 TL;DR 会社用GitHubアカウントを作るべきか否か問題 会社用GitHubアカウントの利用で抱えた問題 1. OSS活動時にアカウントを切り替える必要があり面倒 2. GitHubの規約に準拠していない 会社用アカウントを廃止した場合にセキュリティをどのように担保するか GitHubのSAML single sign-on (SSO)機能について 会社用アカウントの廃止およびSSO有効化の実施 会社用GitHubアカウントを使い続ける場合 私用GitHubアカウントに切り替える場合 Botアカウントの場合 Outside Coll
兵庫県警ブラクラ摘発の何が恐怖なのか - bonotakeの日記
兵庫県警によるブラクラ摘発が話題になってもう3週間ほどになるんでしょうか。 最初は中学生がこの件で「補導」(触法少年として刑法犯扱い)された事が話題になりましたけども、その後、僕は同時に摘発された男性に関する以下の記事が出て「これは本当にマズイ」と感じるようになりました。 そして、この件で僕が感じているこのザワザワした感情が 恐怖 なんだ、という認識に至りました。 nlab.itmedia.co.jp 以下、僕がこの件で何を恐怖と感じているかを書きます。 書いてあることは他でも言われていることの何番煎じかわからないものですが、あくまで僕自身の所信表明ということで。 目次: 1. ブラクラをウィルスと同列のものとして扱っている 2. ループの本質を警察が理解していない ループはプログラムに欠かせないもの 止まらないループは簡単にできあがる まとめると 3. 故意犯の要件を満たしていないのでは
勉強会の活動休止のお知らせ – すみだセキュリティ勉強会
主催者のozuma5119です。 既に自分のブログ(兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1))で先に書いてしまったのですが、すみだセキュリティ勉強会の開催はしばらく保留とし、しばらく活動休止することにしました。理由は、昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないためです。 私自身は、勉強会の名前通りに東京都墨田区在住のため、警視庁管轄であり実際のところはほとんど心配は無いと思っています。しかし、発表者の方が近隣の神奈川県・埼玉県・千葉県から来られる場合……その発表を元に、各県警により不正指令電磁的記録に関する罪で発表者が逮捕される可能性があります。それどころか、例えば「勉強会に行って、こんなセキュリティの話を聞いてきた」というブログ記事を書いた参加者の皆さんを、共犯者
なぜコインハイブ「だけ」が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満
サイト訪問者のPCを使ってWebブラウザ上で仮想通貨をマイニング(採掘)させる「Coinhive(コインハイブ)」を設置したことを巡り、複数の検挙者が出ている問題(通称:Coinhive事件)について、検挙当時未成年だった少年がねとらぼ編集部の取材に応じ、当時の状況や「Coinhive事件」の問題点について語りました。 コインハイブ事件の年表(coinhiveuser.github.ioより引用) 「Coinhive」とは Coinhiveとは、Web運営者がCoinhiveのコードをサイトに埋め込むことにより、アクセスした閲覧者に「Monero」という仮想通貨をマイニング(採掘)させて、報酬を受け取るサービス。運営者は採掘で得た利益の7割を受け取ることができるとあり、2017年10月ごろから日本でも話題を呼びました。 Coinhive側は、これまで多くのサイトが広告収入に頼ってサイト運営
脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ
第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。 Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。 当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
コインハイブ逆転有罪、IT業界への影響は? 識者から「デジタルけしからん罪」の声も - 弁護士ドットコムニュース
コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 - 弁護士ドットコムニュース
技術的な話ゼロの質問箱(Peing)問題点まとめ
