(加筆・修正)「メルカリ個人情報流出に違和感」プロが疑問視—— 国内数百万会員の統括エンジニア独白
おしらせ:BUSINESS INSIDER編集部では、比喩的表現の箇所が技術的な誤解を招いたことを踏まえ、改めてA氏やその他の開発者とも意見交換のうえ、6月23日に公開した本記事の加筆・修正を決定しました。合わせて、A氏が改めて今回の流出問題を語った記事『[メルカリ流出] 匿名エンジニアA氏が語る「流出問題の本質」とは?』もご覧ください。 メルカリの個人情報流出騒動が昨日からネットを騒がせている(BUSINESS INSIDER JAPANの第一報はこちらから)。 メディアの立場から見ると、メルカリの広報対応は及第点だ。短時間で、できる限りクリアに情報露出をすることで、ブランドへのダメージは最小限に留めているように感じる。 その一方で、コンテンツ配信設計のプロから見て「メルカリの裏側の仕組み」や「謝罪リリース文」の説明はどう映ったのか。国内で有料会員 数百万MAU(Monthly Acti
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
Facebook の「友だちの再会」というチェーンメール的なやつ : にぽたん研究所
ここ数日、Facebook 上で「友だちの再会」というポストをやたらと見かけるようになりました。 昔っぽい言い方をすれば、ある種の「チェーンメール」なのですが、過去を知ってか、現代における脅威を知ってか、皆さん無邪気にシェアしまくっています。 別に釣られることもなく、何ともおもわずに過ごしていましたが、この現象に警鐘を鳴らす興味深い記事がありました。 Your Facebook is a GOLD MINE for hackers | Darcy Sabatino 若干拡大解釈もあったりして、「んー?」とおもうところがありました (個人の感想です) が、ざっくり言うと「無邪気にやって拡散してるそれ、ハッカーに付け狙われてるかも知れないからな?」というお話です。 ちょっと同意する部分もあるので、皆さんに読みやすいように全文を和訳してみました。 Facebook はハッカーにとっては金脈 時々
httpoxy
Recommended reading Summary What Is Affected Immediate Mitigation Prevention Interesting, but once you’ve mitigated How It Works Why It Happened History of httpoxy CVEs A CGI application vulnerability (in 2016) for PHP, Go, Python and others httpoxy is a set of vulnerabilities that affect application code running in CGI, or CGI-like environments. It comes down to a simple namespace conflict: RFC 3
JVNTA#99929369: 国内のウェブサイトに SQL インジェクションの脆弱性
日本国内のウェブサイトにおける SQL インジェクションの脆弱性が、国内外から JPCERT/CC に複数報告されています。 日本国内のウェブサイトにおける SQL インジェクションの脆弱性が、国内外から JPCERT/CC に複数報告されています。 オー プンソースの SQL インジェクション脆弱性診断ツール sqlmap を使用して、日本国内のウェブサイトで動作するウェブアプリケーションの脆弱性を検出しようとする海外からのアクセスが発生しています。こうしたアクセスは組織規模の大小によらず、中小企業や個人のウェブサイトに対しても行われています。SQL インジェクションの脆弱性が存在するウェブサイトでは、ユーザや開発者の意図しない SQL 文が実行され、様々な影響を受ける可能性があります。 sqlmap は、おもに次の 5つの手法を使用します。 Boolean-based blind WH
ニュースリリース | 2014.07.10 本日の一部報道につきまして
本日の一部報道において、当社もしくは当社と推測される表現を使用して、株式会社ベネッセコーポレーション(以下、ベネッセコーポレーション)から流出した個人情報を、当社が悪意を持って利用したかのような報道がなされました。 しかしながら、当社がベネッセコーポレーションから流出した情報と認識したうえでこれを利用したという事実は一切ございません。 お客様や取引先の皆様にはご心配をお掛けしておりますが、当社は事業活動の中でご登録をいただいたお客様にダイレクトメールをお送りする場合や、外部の事業者に依頼して発送する場合等、いずれの場合においても、適切な手順や方法をとっております。
他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い | LINE公式ブログ
[追記] 「不正ログインの被害事例」と「不正ログインによる被害を受けた場合の対処法」を追記しました。(2014/6/27 20:00) [追記] 「不正ログインの被害事例」に、トークで送られてくる購入要望品のパターンを追加しました(2014/7/14 11:30) 昨今、他社サービスから流出したと思われるメールアドレス・パスワード等を利用して、別のインターネットサービスに不正ログインをするなど悪用するケースが増えています。 LINEでもここ数日、日本のユーザーの方から、自分のアカウントが第三者(見知らぬ誰か)により利用されている、というお問い合わせが増えており、原因を調査したところ、他社サービスの正しい※1ログイン情報を用いてLINEに不正ログインしていると思われる事象が確認されました。おそらく、昨今増加しているケースと同様に、他社サービスから第三者にメールアドレス・パスワード等が渡り悪用
50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
Yahoo!JAPANIDの「秘密の質問と答え」システムは、簡単にID乗っ取りができてしまいませんか?パスワードを知らなくても結果的にログ... - Yahoo!知恵袋
Yahoo!JAPAN IDの「秘密の質問と答え」システムは、簡単にID乗っ取りができてしまいませんか? パスワードを知らなくても結果的にログインできるわけですから、かなり危険のような気がします。 Yahoo!JAPAN IDの「秘密の質問と答え」システムは、簡単にID乗っ取りができてしまいませんか? パスワードを知らなくても結果的にログインできるわけですから、かなり危険のような気がします。 ------------------------------- Yahoo!JAPAN ID、秘密の質問と答え、生年月日、郵便番号、この4点が分かるだけで、いとも簡単に他人にIDを乗っ取られてしまいます。 そしてこの4点を本人から聞き出すのはさほど難しくないと思います。 友人、知人だったら、4点とも知っているケースも多いと思います。 また他人であっても、Yahoo!オークションや知恵袋を利用して、この
「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表 - Yahoo! JAPAN - プレスリリース
指定されたURLは存在しません。 URLが正しく入力されていないか、このページが削除された可能性があります。
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
asahi.com(朝日新聞社):プレイステーション・ネットワークにまた不正アクセス - 社会
印刷 関連トピックスソニー ソニーは12日、同社のオンラインサービス「プレイステーション・ネットワーク(PSN)」などで、9万3千件の不正アクセスを受けたと発表した。同社が被害状況を調べているが、クレジットカード情報などの流出は今のところ確認できていないという。 同社によると、不正アクセスがあったのは、ゲーム配信サービスの「PSN」と「ソニー・オンラインエンタテインメント」、映像配信サービス「ソニー・エンタテインメント・ネットワーク」の三つ。今月8日〜11日にかけて、特定のコンピューターが、約9万3千人分の会員IDを使い、不正アクセスをしていたことが分かったという。不正利用されたIDのうち日本の会員分は約600件。同社は11日までに該当する会員IDを一時停止し、被害状況を調べている。 同社のオンラインサービスは4月下旬に約1億人分の情報流出が発生し、サービスを一時停止していた。同社広
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
tokuhirom blog
Blog Search when-present<#else>when-missing. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? ---- ---- FTL stack trace ("~" means nesting-related): - Failed at: ${entry.path} [in template "__entry.ftlh" at line 3, column 25] - Reached through: #include "__entry.ftlh" [in template "entry.ftlh" at
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレジットカード決済スタート!
Shibuya.pmでのIPA特別企画対談中のTL
