「@N」というTwitterアカウントを持っていた男性、ソーシャルハックを駆使されてアカウントを盗まれる | スラド セキュリティ
TwitterクライアントEchofonの開発者であり、「@N」という1文字のTwitterアカウントを所持していたNaoki Hiroshima氏が、そのアカウントをソーシャルハックで盗まれたことを明らかにしたことが話題になっている(にぽたん研究所:50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯、NBC News:Details and denials emerge in twisted tale of @N Twitter extortion、The Next Web:The original owner of @N still hasn’t got his Twitter account back – someone else snapped it up)。 氏は独自ドメインのメールアドレスをTwitterに登録していたのだが、攻撃者はそのレジストラ(G
Twitter、暗号解読されても過去のデータが読めないようにするデータ保護技術を採用 | スラド セキュリティ
通常、SSLでは最初だけ公開鍵/秘密鍵ペアを使って相手の確認と共有鍵の交換をして、その後は共有鍵暗号を使って通信します。 共有鍵の生成・交換方法はいくつかあるのですが、これが公開鍵/秘密鍵ペアから共有鍵を生成するような仕組みですと、後で秘密鍵を解読された場合に共有鍵もわかってしまいます。つまり、攻撃者に暗号通信を保存されて、あとで秘密鍵を解読されると全ての暗号通信が解読されてしまいます。 一方、毎回乱数などから生成して、しかも公開鍵/秘密鍵を使わずに交換するようにすると秘密鍵が解読されても過去の暗号通信の内容は解読できませんし、暗号通信の一部が解読されても他の部分は解読できません。このような性質をパーフェクトフォワードセキュリティと呼びます。 そのような交換方法としてはDiffie–Hellman鍵交換法があり、今回Twitterで採用されたのもその一種で、ほとんどのブラウザのSSL実装に
「イモトのWiFi」のXCom Globalからクレジットカード情報など約11万件が流出 | スラド セキュリティ
「イモトのWiFi」など海外渡航者向け通信機器レンタルサービスを提供するXCom Globalは27日、不正アクセスにより同社のサーバーからクレジットカード情報を含むユーザーの個人情報約11万件が流出したことを明らかにした(プレスリリース、ITmediaの記事、ケータイWatchの記事、@ITの記事)。 流出した情報にはセキュリティコードが含まれるという。 発表によると、対象ユーザーは2011年3月7日~2013年4月23日に申し込んだユーザーで、全14万6701件のうち10万9112件の情報が流出したとのこと。流出した情報は「カード名義人名、カード番号、カード有効期限、セキュリティコード、申込者住所」となっており、店舗側で保存してはいけないセキュリティコードまでDBに保存されていた上に、暗号化もされていなかったという。攻撃にはSQLインジェクションが用いられたとのこと。 不正アクセスの報
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 | スラド セキュリティ
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい
GIGAZINE曰く「楽天は個人情報を1件10円で販売している」…… | スラド セキュリティ
GIGAZINEの記事「楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明」によると、楽天が個人情報を流出ではなく「販売」していたそうです。すでに実名・住所などを利用したエロサイトの業者スパムが多数届いているとのこと。 このように釣られてしまった方も多数いらっしゃるようだが、GIGAZINEの記事によると、楽天が提供するネットショップ運営システムでは、通常店舗側が確認できる個人情報は顧客の名前や住所、電話番号のみで、メールアドレスは確認できないとのこと。また、注文を行った顧客の情報をCSV形式でまとめてダウンロードできる「CSVデータダウンロード」機能というのもあるが、こちらにもメールアドレス情報は含まれていない。 しかし、月間売上が1,000万円以上、もしくは月間注文数が1,000件以上ある店舗の場合は、審査が通り、かつ個人情報の遵守を誓約する
本物そっくりの「疑似個人情報」、無償ダウンロード開始 | スラド セキュリティ
People to People Communicationsから、疑似個人情報の無償ダウンロードサービスがはじまりました。(以前から有償のものはサービスされていたようで、無償サービスは疑似個人情報3000件まで、非営利目的での使用のみ可、とのことです。) ITmediaの記事によると、 架空の名前や住所、生年月日などで構成した個人情報リストを提供する。自治体などが公開している統計データの分布を正確に反映させており、実在の情報ではないものの「本物と区別することができないほど」そっくりだとしている。 疑似個人情報はCSV形式で、確かにぱっと見ると本物の個人情報のようにも見えますが、家の近くの住所を調べてみた限りでは、疑似個人情報に含まれている住所は実在しない番地になっているようです。 (たとえば○○町3丁目 まである地域だと、4丁目以降になってたり。家の近くの地名しか見ていないので全部がそう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
