タグ

SecurityとAmebaに関するkenjiro_nのブックマーク (8)

  • 芸能人ブログのIDが流出 450件、不正アクセスか - MSN産経ニュース

    インターネット広告会社「サイバーエージェント」(東京)は4日までに、同社が運営する芸能人のブログのIDとパスワード約450件を含んだエクセルファイルが外部に流出した、と発表した。 何者かがブログに不正アクセスし、ファイルを公開したとみられ、サイバー社は警視庁渋谷署に相談。1日正午までに、流出したパスワードを変更した。 サイバー社によると、1日未明、タレントの藤美貴さんとジャガー横田さんのブログに「お年玉」と題した画像が張られ、クリックすると、エクセルファイルがダウンロードできる仕組みになっていた。ファイルは社員が管理していた。 サイバー社の広報担当者は「流出経緯は不明だが、警察とも連携して解明したい」としている。

    kenjiro_n
    kenjiro_n 2010/01/04
    「ブログに不正アクセス」してExcelのファイルがあるの? そういうファイルを自動生成するのは考えにくいし普通に内部漏洩だとおもうんだけど。
  • 「アメブロ」芸能人ブログで情報流出 運営「舞台裏」も明らかに

    多くの芸能人が公式ブログを持つことで有名な「アメーバブログ」(アメブロ)が、年明け早々、前代未聞のトラブルに見舞われている。芸能人ユーザーのIDとパスワードが書かれたエクセルファイルが、何者かの手によってネット上に流出し、それが悪用される形で芸能人ブログが不正に書き換えられるという事態が発生したのだ。 また、ファイルには、事務所が公式ブログ開設を申し込む文面や、「アポとって話しをしてみるのだ!」「事務所ごと取りに行こう!」といった営業の進捗状況とみられる文章も散見される。思わぬ形で、人気ブログ運営の舞台裏が明らかになった形だ。 エクセルにはIDとパスワードが一覧に 事態が発覚したのは、年が明けて間もない2010年1月1日午前1時頃。「アメブロ」にブログを開設しているタレントの藤美貴さんやジャガー横田さんのブログに、突然「お年玉」と書かれた「のし袋」の画像がアップロードされ、画像からはエク

    「アメブロ」芸能人ブログで情報流出 運営「舞台裏」も明らかに
  • CSRFの評価とCVSS現状値 | 水無月ばけらのえび日記

    公開: 2009年12月19日14時10分頃 Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。 弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。 はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。 セキュリティ監査会社による調査を実施している。報告された脆弱性は深刻度によって分類し、即時対応するもの、

  • いろんな人から「こんにちはこんにちは!」って言われるけど、なんで

    いろんな人から「こんにちはこんにちは!」って言われるけど、なんで2回言うのか意味がわからないなう。

    いろんな人から「こんにちはこんにちは!」って言われるけど、なんで
    kenjiro_n
    kenjiro_n 2009/12/18
    このアカウントってAmebaなうの公式なの?
  • アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ

    サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。

    アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
    kenjiro_n
    kenjiro_n 2009/12/18
    はまちや2氏のプロフィールに対してネタ扱いさせていただく。
  • はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵

    はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被

    はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
    kenjiro_n
    kenjiro_n 2009/12/14
    公的機関への報告という仕組みがうまくいっていないのが元凶なんだけどそれでもはまちや2氏はつつきまわるんだろうなあ、とか。
  • おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止

    「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌になっている。 ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる 自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか? 例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは!!」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。 で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなか

    kenjiro_n
    kenjiro_n 2009/12/12
    タイトルに関してはAmebaの客層に対してきちんと説明して理解できるのかという問題点が挙がりそうだ。あと追伸を2度書くくらいにはまちや2氏の行動の是非ではないと言っていたがそうは読めなかった。
  • URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる

    12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構

    URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
  • 1