7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(デジタル庁統括官)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。 一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。 パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定でき
明治大学の不正アクセスはまた続く可能性が高い - Fox on Security
明治大学が再び不正アクセスを受けた可能性があると記事を書いたら、やはり不正アクセスを発表していました。この件に関する明治大学の公式発表を拝見しましたが、直感的には、再発の可能性は高い気がします。 www.nikkei.com ■公式発表 不正アクセスによるSPAMメールの送信及び個人情報漏えいについて ◆キタきつねの所感 そうだろうな・・・という状況証拠(学生のTwitter投稿)がありましたので、明治大学としてはいつ発表するかだけの問題だった気がしますが、学校発表の文章に隠された意図が読み取れていたので(個人的には)良かったなと思っています。 foxsecurity.hatenablog.com 改めて公式発表を見てみますと、ものの見事に前回のインシデントと同じ形で攻められています。Office365のクラウドログイン情報経由で、SPAMメールの踏み台、メール送受信記録のダウンロードによ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
