Spotifyでアカウントデータが流出。30~35万人規模 | スラド セキュリティ
ストーリー by nagazou 2020年11月26日 12時00分 該当者はほかのサービスでのパスワード確認を 部門より 音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した(vpnMentor、ZDNet、Engadget、マイナビ)。 流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功? | スラド セキュリティ
米空軍の機密情報漏えい事件の裁判で、容疑者から押収したハードディスクに保存されていたTrueCryptの隠しボリュームをFBIが復号したと、米軍の諜報活動対策専門家が証言したそうだ(The Registerの記事、 Sun Sentinelの記事)。 容疑者は機密文書へのアクセスを認められた米空軍のシステム管理者。ホンジュラスの空軍基地でWindows 7のインストール作業をしていた際、中東関連の機密文書などをコピーして持ち出したという。容疑者は逮捕・起訴され、7月30日にフロリダの連邦地裁で有罪判決を受けている。 この諜報活動対策専門家によると、TrueCryptの隠しボリュームは30桁の複雑なパスワードで暗号化されていたが、FBIが復号に成功して流出した機密情報を確認したという。ただし、Open Crypto Audit Project(Is TrueCrypt Audited Yet
セキュリティ向上のためにはJavaは消すべき | スラド セキュリティ
わかって書いている人とわからずに書いている人がいるみたいなので、ちょっと書いておく。 最近の攻撃の傾向を分析するとブラウザのプラグインが激しく狙われているといことがわかっています。 OS やブラウザのバグは自動アップデートなどで対策が進んでいるので攻撃対象がプラグインに向いている状況です。 Flash や Adobe Reader などもそうなのだけど、特に Java は狙われています。 1) 深刻なセキュリティ問題が頻出し続けている 2) ユーザが利用していないのにインストールしていてる 3) ユーザがアップデートしていないことが多い 4) ブラウザクリックなどで比較的に簡単に攻撃できる 5) ゼロデイの脆弱性が見つかっているのに対応版が出るのが遅いことがある などなど、攻撃者に好まれる要素が多数ああるのが原因でしょう。 Java の好き嫌いではなくて、今現在 Java が徹底的に狙われ
秘密の質問経由で不正アクセスした中学生 3 人、書類送検される | スラド セキュリティ
今日様々なサイトで当たり前のように使用されているパスワード再発行認証「秘密の質問」を利用して同級生のフリーメールのパスワードを変更、不正アクセスした中学生 3 人が書類送検された (MSN 産経 west の記事より) 。 秘密の質問は「母の旧姓」や「ペットの名前」など、本人から聞いたりするなどして他人が比較的容易に入手できる情報で認証を行うことができるため、ソーシャルクラック用の玄関として悪名高いが、兵庫県警は 3 人がどのようにしてその回答を知ったかについて調査中という。
ブラウザクラッシャーを作った13歳中学生、「ウイルス作成罪」で補導される | スラド セキュリティ
読売新聞によると、京都府警サイバー犯罪対策課が、「パソコンを強制終了させるウイルス」を自宅のパソコンで作成した13歳の中学生を不正指令電磁的記録作成(ウイルス作成)の非行事実で補導したという。 この中学生は「ハッカーが情報交換する会員制サイト」を運営しており、このサイトで技術を指南していた23歳男性も「パソコンのファイルを勝手に削除するウイルス」を保管していたとして逮捕された。 先月、オンラインゲームのサーバーに不正侵入してIDやパスワードを取得したとして、不正アクセス禁止法違反で逮捕された16歳の少年もこのサイトを利用しており、不正に取得したIDやパスワードをこのサイトの掲示板に書き込んでいたという。 問題とされる「ウイルス」は、『パソコンの画面に「強制終了してください」と表示され、強制終了以外の操作ができなくなる』というものとされるが、MSN産経ニュースによるといわゆる「ブラウザクラッ
MySQL/MariaDBにバグ、256分の1の確率で間違ったパスワードでも認証されてしまう | スラド セキュリティ
特定のバージョンのMySQLおよびMariaDBにおいて、「256分の1の確率で、パスワードが間違っていたとしてもパスワード認証を突破できてしまうう」バグが発見された(SecLists.Org、SecManiac)。 このバグを使用すると、300回程度のアクセスを試みるだけでrootを含む任意のユーザーでのログインが可能であり、事実上パスワード認証が意味を成さなくなってしまうとのこと。 ただしこれらの影響を受けるビルドは少なく、多くの公式ベンダが提供するビルドでは問題はないそうだ。 対象となるMariaDBおよびMySQLのバージョンは5.1.61、5.2.11、5.3.5、5.5.2。こただしこの問題が発生するか否かはmemcmpの実装によって異なり、GCCビルトインのものやBSDのlibcのものについては安全だが、LinuxのSSE最適版glibcに含まれるmemcmpについては安全で
vsftpdにバックドアが仕込まれる | スラド セキュリティ
多くのLinuxディストリビューションでも採用されているFTPサーバーvsftpdにバックドアが見つかった。The Hによると、公開されているvsftpd 2.3.4のソースコードにバックドアを実装するコードが発見されたそうだ。このバックドアはユーザー名「:)」、ポート番号6200で任意のユーザーの接続を許すというもので、またシェルを実行することもできるという。 このコードは2~3.5日前(記事公開が7月4日なので7月2日前後?)に混入した模様。安全なソースコードはGoogle AppEngine上のvsftpdサイトで公開されている。 最近ではソースからビルドしてインストールしている人は多くないと思うが、思い当たる節のある方はご確認を。また、ソースコードをダウンロードした際はGPG署名を確認するようにとも述べられている。
解雇されたことへの復讐、CEO のプレゼン用資料をポルノ画像に差し替える | スラド セキュリティ
Walter Powell 氏 (52 歳) は、以前 IT マネージャーとして務めていた Baltimore Substance Abuse System Inc. から解雇されたことへの復讐として、CEO の取締役会プレゼンテーション用資料をポルノ画像に差し替えていたとのこと ( Naked Security の記事、本家 /. 記事より) 。 Powell 氏は自宅のパソコンから会社のシステムに入り込み、パスワードを盗むためのキーロギングソフトウェアをインストールした。そして CEO の PowerPoint を遠隔操作できるように設定し、取締役会にて使われた 64 インチのスクリーンにポルノ画像を映し出すことができたのだという。 Powell氏は、3 年の保護観察付きの執行猶予 2 年が言い渡され、100 時間の社会奉仕活動を命じられた。
NATO にてクラッカー集団 Anonymous を「迫害すべき」との声上がる | スラド セキュリティ
Wikileaks に「貢献」していることなどで知られるクラッカー集団 Anonymous が国家の安全を脅かす恐れがあるとして、そのメンバーらを「迫害」すべきとの声が NATO で上がっているそうだ (Thinq_ の記事、本家 /. 記事より) 。 これは最近 Anonymous が米商工会議所およびセキュリティ企業 HB Gary に攻撃を仕掛けたことを受けての動きとのこと。NATO の議員会議に向けてまとめられた草案では、Anonymous の活動は高度化しており、政府や軍、また企業などの機密情報が不正にアクセスされる可能性もあると指摘されているそうだ。 米国のオバマ政権は先月サイバー攻撃に対して軍事報復もあり得るという政策を決定しており、また先日英国もサイバー攻撃に対する防衛部隊を創設することを発表している。国家や同盟組織などによる「対サイバー政策」の整備が本格化の動きを見せてい
ソニー・PSN への攻撃には Amazon のクラウドサービスが使われていた ? | スラド セキュリティ
ソニーの PlayStation Network (PSN) への攻撃には Amazon のクラウドサービスが使われていたのこと (Bloomberg の記事より) 。 攻撃者は偽名で Amazon EC2 を利用して PSN への攻撃を行ったと、とある匿名の関係者が述べたそうだ。すでに攻撃に使用されたアカウントは停止されているとのこと。攻撃者は Amazon 上のサーバーを攻撃して乗っ取って PSN の攻撃に用いたというものではなく、企業が利用するように正式な手順で (ただし偽の情報を利用して) サインアップして EC2 を使用したそうだ。 今後はこのようなサイバー犯罪にクラウドサービスが用いられることも増えるのかもしれない。クラウドサービス提供側も、身元確認などのセキュリティ対策強化が必要とされそうだ。
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に | スラド セキュリティ
「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」やTogetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果
雇用主が面接で Facebook アカウント情報の提示を要求 | スラド セキュリティ
ストーリー by reo 2011年02月22日 12時00分 division of corrections って何て訳すんだ 部門より アメリカ自由人権協会 (ACLU) によれば、米国メリーランド州監督局が職員更新面接の際に、申請者の Facebook のアカウントとパスワードの提示を要求したとのこと (ACLU Official Blog の記事、本家 /. 記事、the Atlantic の記事より) 。 監督局職員の Robert Collins 氏は職員証明書更新の面接中に Facebook のアカウントとパスワードを要求され、面接官は Collins 氏の Facebook ページにログインした後、氏の投稿だけでなく家族や友人の投稿なども閲覧したという。また Collins 氏が「パスワードをすぐに変更したらどうなるのか」と質問したところ、「身辺調査にかかる 1 〜 2 ヶ
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
Anonymous、サイバー攻撃の次はファックスマシン攻撃 | スラド セキュリティ
WikiLeaks 擁護派ハッカー集団 Anonymous が、WikiLeaks と距離を置くことにした企業に対して仕掛ける次の戦略は、アナログ的なファックスマシン攻撃であるとのこと (Netcraft の記事、本家 /. 記事より) 。 Anonymous が「Leakflood ミッション」と銘打った新攻撃戦略では、アマゾンやマスターカード、Moneybookers、PayPal、Visa、Tableau Software に対し、大量のファックスを一日中送信し続けるよう呼びかけている。攻撃の開始を 13 日の午後 1 時 (GMT) とし、14 日の午前 4 時まで続けるよう指示している。 呼びかけのメッセージには、「敵は、我々の戦略に適応してきている。だが、所詮は動きの鈍い官僚的な奴らだ。我々はもっと素早く戦略を変更できる」とあり、今後、更にどのような手法で攻めてくるのか見物であ
米国、触診検査をより不快にすることで全身スキャンによる身体検査を奨励 | スラド セキュリティ
Atlanticに掲載されたJeffrey Goldberg氏のレポートによれば、TSA(アメリカ運輸保安庁)は、後方散乱X線装置による航空機搭乗時の身体検査を奨励するため、「手で探るように触れて」行う検査を故意に、より辱めるように行っているとのことらしい(/.本家)。 レポートの著者は、バルチモア・ワシントン国際空港で身体検査を受ける際、全身スキャンによる検査を拒否する代わりに、触診で検査を受けることとなった。TSA職員から事前に、触診による検査は規則が変わり、「抵抗(性器)」を感じる(に触れる)まで執拗に股の間を探るなど、以前と比べて極めて不快な検査を行うとの説明を受けている。そして、実際の触診検査では、事前説明の通り、経験したことのない程に執拗であったということだ。 全身スキャンは、裸を露にし、検査を受ける人が不快に感じるため敬遠されてしまう。そこで触診検査をより不快にすることで、利
VS2010 でコンパイルされた全ての単体 MFC アプリケーションに脆弱性が存在 | スラド セキュリティ
手持ちのアプリケーションをDependency Walkerで確認してみましたが、Visual Studio 6.0及びVisual Studio 2005で作成したスタティックリンク系MFCアプリケーションも、dwmapi.dllを間接的にロードしているように見えます。 (実際にロードされるかは未確認) そもそも、VS2010のMFCもdwmapi.dllを直接ロードしているわけではなく、ダイナミックリンクしているshell32.dllから間接的に呼ばれているわけで……。 これ、下手をするとshell32.dllを呼び出すアプリは全滅じゃないですかね? ちなみに、shell32.dllはその名の通りシェル関連のDLLで、SHGetMallocのようなSH接頭辞付きAPIとか、ドラッグ&ドロップ関連とかが含まれます。 MFCじゃなくても該当アプリはかなり(と言うか、GUI系アプリではリンク
WEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパン
[ruby-dev:42003] から始まるスレッド によると、Ruby に添付の Web サーバフレームワーク WEBrick に XSS 可能な脆弱性が発見されたらしい。 ところが、この脆弱性を発見したのは Apple のようなのだが、Mac OS X 同梱の Ruby については既にセキュリティアップデートで対応が行われたのに、Ruby 本体側では未だに一切の対応がなされていないようだ。つまり、Mac OS X 同梱ではない Ruby に添付の WEBrick を使用している Web サービスについては、現在、ゼロデイ攻撃が可能な脆弱性が存在するということになる。 Apple が Ruby 本体側に情報を開示しないままに脆弱性の公開を許可してしまったのか、それとも Ruby 本体側の対応が遅れてしまって公開期限に間に合わなかったのか、はたまた別の問題があったのか。なんにせよ、どうして
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHubで「remove password」というコミットを検索するとパスワードらしきものが大量に見つかる | スラド セキュリティ
ハッカー集団、米民間調査機関から盗んだクレジットカード情報で慈善団体に寄付をする | スラド セキュリティ