「Google認証システム」がアカウント同期に対応。デバイス紛失時も安心
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
「権限要求多すぎ」──セブン-イレブンのTwitterキャンペーンに批判相次ぐ→中止に なぜこうなったかは「確認中」
セブン-イレブン・ジャパンが7月11日に始めたTwitterキャンペーンが波紋を呼んでいる。社名にちなんだ「セブン-イレブンの日」として無料クーポンをプレゼントする企画だったが、応募のためには個人のTwitterアカウントと外部アプリを連携させる必要があった。その際に要求される権限が不適切ではないかという声が上がり、同社は12日午後11時にキャンペーンの新規応募を中止した。 要求の中には「他のアカウントをフォロー、フォロー解除する」「他のアカウントをミュート、ブロック、報告する」「このアカウントでダイレクトメッセージを送信、確認、管理、削除する」など、アカウント情報を閲覧する以上の権限が含まれていた。 この要求を許可すると、セブン-イレブンが管理するサードパーティーアプリからツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまう。これに対し、立命館大学の上原哲太郎
マカフィー創業者が自殺か スペインで勾留中に死亡
ジョン・マカフィー被告(2016年8月16日撮影、資料写真)。(c)Fred DUFOUR / AFP 【6月24日 AFP】(更新、写真追加)米インターネットセキュリティー大手マカフィー(McAfee)創業者のジョン・マカフィー(John McAfee)被告(75)が23日、収容されていたスペインの勾留施設で死亡しているのが見つかった。自殺とみられる。当局者が明らかにした。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日、米国への身柄引き渡しを認めていた。 マカフィー被告は昨年10月にスペイン・バルセロナ(Barcelona)の空港で身柄を拘束され、勾留されていた。2014年から18年にかけて1000万ユーロ(約13億円)以上の所得を意図的に申告しなかったとして米国で起訴され、有罪となれば最高で禁錮30年を言い渡される可能性があった。(c)AFP
「ふくいナビ」がデータ消失 業者が契約更新手続き怠る:中日新聞Web
ふくい産業支援センターは五日、運営するネット配信サービス「県産業情報ネットワーク『ふくいナビ』」が一日から使用できなくなったと発表した。ネットの情報を保管する「クラウドサーバー」を賃貸するNECキャピタルソリューション(東京都)が契約の更新手続きを怠り、サーバーのデータが完全に消失したためで、復旧は不可能という。利用者の情報漏えいはない。再稼働の時期は未定。 同社はサーバー機器を所有せず、機器の使用権を賃貸している。センターは二〇一五(平成二十七)年から五年間の契約を結んでおり、先月末で契約が終了するため、先月十三日に単年契約の更新を行った。しかし、同社がサーバー機器管理者への使用権更新手続...
Oracle、TikTokの買収交渉に参加 - iPhone Mania
ビジネス用途に特化したソフトウェア会社Oracleが、人気動画共有アプリTikTokの買収交渉に参加した、と米CNBCが伝えています。 OracleのTikTok買収は不自然? Oracleは、データベース管理システム(DBMS)を中心とした企業向けソフトウェアの開発、販売を行っており、2019年にMicrosoftに次ぐ世界第2位の企業へと成長しています。 多数の買収によりソフトウェア市場でのシェアを高めるのが同社の手法として知られていますが、TikTokは通常業務からあまりにもかけ離れたアプリではないかとの指摘もあります。 CNBCいわく、理論上はTikTokの顧客情報をOracleのマーケティング製品に活かすことは可能とのことです。 すでに株式を所有するベンチャーキャピタル企業と協力 CNBCによれば、OracleはすでにTikTokの株式を所有するベンチャーキャピタル企業と手を組ん
noteユーザーのIPアドレスが漏えい、運営会社が謝罪 有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に
コンテンツ配信サービス「note」を運営するnote社は8月14日、記事投稿者のIPアドレスが第三者から確認できてしまう不具合があったとして謝罪した。漏えいした有名人のIPアドレスを、他サービスでの投稿に見られるIPアドレスと比較する者も現れている。 noteユーザーが直近でログインしたIPアドレスが、記事詳細ページのソースコードから確認可能な状態だったという。IPアドレスを他人に見られた可能性があるのは、noteで2記事以上投稿したことのあるユーザー。同社は14日午前10時40分にこの不具合を検知し、午前10時58分にnote全体へのアクセスを遮断。午前11時56分に修正対応を終え、サービスを再公開したとしている。 誰でもnote利用者のIPアドレスを確認できる状態だったことから、noteを利用する有名人のIPアドレスを、ネット掲示板「5ちゃんねる」など他のサービス上で見られるIPアドレ
【再度復旧】Garmin Connectでサービスに障害が発生、ランサムウェア攻撃によるものと認める。第三者経由で「身代金」を支払ったとの報道も。 | DogsorCaravan トレイルランニング・スカイランニングのオンラインメディア
HOMEニュースGear / ギア【再度復旧】Garmin Connectでサービスに障害が発生、ランサムウェア攻撃によるものと認める。第三者経由で「身代金」を支払ったとの報道も。 Garminデバイスのユーザーの方は、昨夜からスマートフォンのGarmin Connectアプリをみて、「メンテナンス中」となっていることにお気づきでしょう。今朝になっても同じ状態で2020年7月24日(金)18時30分現在でも、Garminのウオッチからランニングの後は自動的にログがアップロードされるはずなのに、いつまで経ってもアップロードされません。これはGarmin Connect側のシステムダウンによるもので、ユーザー側の端末故障や操作の間違いによるものではありません。ただ、システムダウンの状況は大規模な模様で復旧には少なくとも数日はかかりそうです。 【追記:ITセキュリティのウェブメディア・Bleep
顔の性別や年齢を変えたりできるFaceAppのポリシーが怖い
顔の性別や年齢を変えたりできるFaceAppのポリシーが怖い2019.07.19 14:0067,410 Melanie Ehrenkranz - GIZMODO [原文] ( 中川真知子 ) この利用規約は、リアルに怖いわ…。 FacebookでもInstagramでも、最近やたらと友人たちの老け顔写真を見かけます。みんな若返りたくて頑張っているのに、いつの間にかSNSは老け顔ブームなのねー、なんて思っていたら世間では「FaceApp」なんてアプリが流行っていたんですね。 で、モーフィングで「2000万円問題に直面している頃であろう顔」にしてくれる「FaceApp」が、危険視されているらしいんです。なんでかって? ポリシーがヤバめだから。 ユーザーがFaceAppに写真をアップロードしても「多くの情報は送られない」と、セキュリティ研究者のJane Wong氏はTwitterに書いています
Intel製CPUの「修正済み」脆弱性が実は修正不可能であったことが判明、特権によるコード実行やDRMの回避などが可能
Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが判明しました。この脆弱性を悪用すると、悪意のあるコードを特権レベルで実行できるほか、著作権保護技術のDRMの回避などが可能になります。 Positive Technologies: Unfixable vulnerability in Intel chipsets threatens users and content rightsholders https://www.ptsecurity.com/ww-en/about/news/unfix
Let's Encryptが証明書300万件を失効処理、ソフトウェアの不具合で
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Let's Encryptプロジェクトは、バックエンドのコードに不具合が発見されたとして、2020年3月4日の午前0時(協定世界時〈UTC〉、日本時間では午前9時)に300万件を超えるTLS証明書を失効させる計画だ。 具体的には、この不具合は、Let's EncryptプロジェクトがTLS証明書を発行する際に、ユーザーやドメインの検証に使用していたサーバーソフトウェア「Boulder」に発見されたものだ。 問題があったのはCAAの検証処理 問題になったのは、BoulderのCAA(Certificate Authority Authorization)の実装だ。 CAAは2017年に承認されたセキュリティ標準で、ドメイン所有者が、意図し
「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた - piyolog
2019年12月6日、インターネットオークションで落札したハードディスクから行政文書とみられるデータが復元されたと報じられました。その後の調査でこのハードディスクはリース会社が委託した処理業者の従業員が転売して事実が明らかになりました。第一報を報じた朝日新聞は今回の流出事案を「世界最悪級の流出」と表現しています。ここでは関連する情報をまとめます。 発端は落札者のデータ復元 IT会社の男性が仕事で使うためにネットオークションで中古のHDDを落札。 使用しようとしたところ、エラーメッセージが表示されたため過去の経験からHDDのデータを確認。 復元ソフトを用いてデータサルベージを実施し、神奈川県の公文書情報とみられるデータを発見。 同じ出品者から同じ製造元のHDDが他にも出品されていたことからその後も落札した。 朝日新聞を通じて神奈川県へ情報提供し事案が発覚した。 以下は関連する出来事を整理した
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
7payのアレ - Re:RXJ Station
既にあちこちで話題になってる7payの件。 www.itmedia.co.jp もう、セキュリティ素人が見ても分かる穴だらけのガバガバセキュリティ過ぎる。 togetter.com 色々あるけど、サービス開始当初の状態で アプリログインにMFA(多要素認証)が無い アカウント登録時 生年月日を登録しないと2019年1月1日が設定される アカウントのパスワードリセットに登録時と異なるメールアドレスを指定できる つまりアカウント(実質登録時のメールアドレス)と生年月日(未設定だと2019/1/1)さえ分かれば、誰でも容易にアカウントパスワードをリセットできる→乗っ取り放題 これって、申し訳ないけど素人目に見ても酷いし、ハッキングスキルなんか何も要らないのでこんなの「乗っ取られて当然」とも言えそう。 正直「脆弱性」や「悪質なサービス攻撃」なんてレベルでは無く「そもそも設計段階でセキュリティリスク
7pay不正チャージ・不正使用のセキュリティーの問題点が徐々に明らかに
まとめ 【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める 【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf 226500 pv 2255 156 users 485 シェアバー @Sharebars しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ クレジットカード登録したら本当にヤバイよ! 7pay被害者を増やさない為に拡散して下さい! pic.twitter.c
Docker Hubのデータベースがハックされ190,000ユーザーのデータが一時的に露出したこと:速報 - orangeitems’s diary
Docker Hubにて重大セキュリティインシデントが発生 10連休初日からリスク発生です。 Docker Hubという、Dockerを使う人ならば誰でも使っていると言っても過言ではない、Docker純正のパブリックコンテナ置き場(公式リポジトリ)が、ハッキングされ、190,000ユーザーのデータが露出した・・とあります。 各ニュース記事 ZDNet www.zdnet.com Docker Hub, the official repository for Docker container images, has announced a security breach on late Friday night. BLEEPING COMPUTER www.bleepingcomputer.com An unauthorized person gained access to a Docke
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【スイーツパラダイス オンラインショップ】不正アクセスによる個人情報漏えいの可能性のあるお客様へのお詫びとお知らせ | 公式スイーツパラダイス
Amazon Echoの処分には細心の注意を。研究者が警鐘
45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう
SBI証券、顧客資金9864万円が流出 偽口座に送金 - 日本経済新聞
