脆弱性報告制度 << mixi Developer Center (ミクシィ デベロッパーセンター)
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。 概要 弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。 対象 本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。 ただし、次に該当するものは含まれません。 既に公表されている脆弱性 弊社にとって既知の脆弱性 報告されてから修正が完了する前に公表された脆弱性 攻撃が成立する可能性が著しく低いと考えられる脆弱性 原理的に修正が不可能な脆弱性 本制度の期間外に報告された脆弱性 窓口
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
ミクシィ、4200人の情報が3日間「露出」 : 社会 : YOMIURI ONLINE(読売新聞)
パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使える仕組みを
高密度小池 / サン牧の本質的な問題
サン牧の本質的な問題 サン牧には問題がいくつかあって、表面的なことを言えば、 OpenSocial にちゃんと従っていないという点と、外部課金回りに重篤な不具合があるという二点です。 OpenSocial に従っていないという点は、 mixi がわがしっかりした作りになっているので、これはさほど問題になりませんが、外部課金のお粗末さはかなりのものと言えます。 ここでサン牧運営の Rekoo の技術力やモラルの問題を糾弾するのは簡単で面白いことですが、これもあまり本質的ではないと思います。 結論から言うと、本質的な問題は mixi が mixi アプリの提供を急ぎすぎたことであると僕は思っています。 mixi アプリは、資金を集めるために始められたサービスであると理解するのが、やはり正当かと思いますが、 mixi にマネーなり話題なりを集めるサービスを mixi アプリ上で展開して
サンシャイン牧場のクレジットカード脆弱性について@ssig33
ssig33: サン牧で他人のクレカ情報取るの、セッション ID を偽装して Get するだけで、セッション ID はマイミクリスト経由で取れますよ [http://twitter.com/ssig33/statuses/5111706038] ssig33: 一応運営に連絡済、もう直ってると信じたい [http://twitter.com/ssig33/statuses/5111712163] ssig33: あとちょこちょこ SQL インジェクションが残ってたりスウィフファイルが逆コンパイル対策されてなかったり、中国人にセキュリティ対策を求めるのが酷なんじゃないかと思えるレベル [http://twitter.com/ssig33/statuses/5111734931] ssig33: 基本的なこととして、中国人がやってるサービスに個人情報を預けるべきではない、というのはこれはあると
mixiは一刻も早くサンシャイン牧場のクレジットカード脆弱性についての危険性を発表すべき - やまもといちろうBLOG(ブログ)
一部対策されているようだけれど、まだできちゃうようなので…。 セッションIDからぶっこ抜ける状況は続いておるようにも見えるのと、対策がちと杜撰で穴が塞がってないようなので、老婆心ながら再度通報と本件エントリーをば。 悪用も考えられるので、方法は書かない。でもマジに危険すぎる。早期にきちんと対策されることを祈ります。
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
空気を読まないブログ mixiの足あとがとんでもないことに利用される可能性が?
http://worstman.net/blog/064