2014-06-20
はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い 昨日6月19日(木)、はてなアカウントにおいて、ご登録ユーザーご本人以外の第三者による不正なログインが発生したことを確認しました。同日、疑わしいIPアドレスからのアクセスを遮断しました。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。 前回告知した不正ログインと同様に、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと考えています。 参考資料:「リスト型アカウントハッキングによる不正ログインへの対応方策について」(総務省) http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.h
2014-02-24
不正ログイン防止のため、パスワードと登録情報のご確認をお願いします 弊社自身の調査により、はてなのサービスに対して外部から不正なログインが行われた可能性があることが判明しました。 ただし、弊社サーバーへの侵入によるアカウント情報の流出や、パスワードを機械的に推測してログインを試行するといった不審な行動は確認されておらず、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された可能性が高いと考えています。 そこで、他社サービスと同一のID(メールアドレスまたはユーザー名)およびパスワードを使用しているユーザー様は、安全のため登録メールアドレスがご自身のものであるかを確認の上、早急にパスワードを変更してください。 それ以外のユーザー様も、下記にあるように登録情報等をご確認の上、より安全なパスワードと、正しく有効なメールアドレスを設定いただけるようお願い
twitterで、はてなの不具合を知ったでござるの巻 - 煩悩是道場
トップページに他の方のIDにてログイン中の情報が表示される不具合Commentsについて、リアルタイムで不具合の状況を知り、はてな運営に報告、対処をして頂きました。あらためてtwitterの情報共有・収集速度の速さを実感した次第です。 pikioなんか…、今はてなダイアリーのページで、一瞬違う人のアカウントになった。再読み込みで戻ったけど。一応、自分のパスワードは変更しておく ( 2009-09-25 19:38:34 )ululunなにそれこわい。 RT @pikio: なんか…、今はてなダイアリーのページで、一瞬違う人のアカウントになった。再読み込みで戻ったけど。一応、自分のパスワードは変更しておく ( 2009-09-25 19:42:35 )pikio今度は別の人に変わった。他の人の管理画面には入れない。 ( 2009-09-25 19:46:11 )pikiohttp://d.h
hatena は今すぐSPF宣言しましょう。 - pen2 の日記
どうやら hatena は SPF宣言してないみたい・・・!! 「え?SPF?なにそれ?何のこと?」ってな方が多いとおもいます。 紫外線から守ってくれる奴ではありません。 SPFとは電子メールの送信ドメイン認証のひとつで、「このドメインからはこのIPアドレスでメール送るよ!」とDNSに書いておく方法です。yahooメールやgmailなどのSPF認証に対応した受信サーバではメールを受信すると、"Envelope From"のドメインでDNS TXTレコードを引きます。ここに送信サーバのIPが列挙してあるので、そことセッションIPを比較すれば、なりすましたメールかどうかを簡単に見分けられると言う技術です。 http://ja.wikipedia.org/wiki/Sender_Policy_Framework これを宣言していないと「なりすましメール」かどうかの判定ができません。今はまだそれほ
はてなの構造的脆弱性とか
http://anond.hatelabo.jp/20080130215148 ほんとほんと。 はてなにだってすごい脆弱性がある。 最近更新されたダイアリー一覧とかいうのがある。 無限に過去をさかのぼって一覧をみることができる。 これで全ダイアリーユーザのリストを作成できる。 さらに、各ユーザの各サービスページを参照することで、 そのユーザが最後にはてなを利用した時期がおおむね把握できる。 はてなはidとpasswordが同じアカウントを作成可能なので、取得したリストをidをpasswordとしてログインすることで数%のアカウントがログイン可能になる。これはjoeアカウントといってクラッキングの基本中の基本だ。これははてなのシステム設計がいかに適当かという部分で、 ・登録したアカウント名をユーザ名として表示してしまう ・アカウント名と同じパスワードを登録可能 という、最低な仕様になっている
はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。 例をあげてみます。 id:komatakアカウントのプライベートフォルダにはハンバーガー食べてるkomatakさんがいらっしゃいました。このURLです。 http
Windows Live Writer の WSSE 認証 - 大西日記 - はてなダイアリー
慌ただしかった4週間のインターンもようやく終わり・・・、明日からは9月のインターンの開始です。 さて、8月にid:keikubo, id:hakobe932 とダイアリーに「下書き機能」と「AtomPub」(と「その場削除」)をリリースしたのですが(二人ともお疲れ様でした!)、id:keikuboの日記にAtomPubがうまくいかない、というコメントがついていたので調べてみました。 どこで失敗するかというと、Windows Live Writerに新しいアカウントを追加する際。FiddlerでWLWの通信を覗いてみたところ、アカウントの追加画面でBlogのタイプをAtom Pub APIに設定し、エンドポイントURLを入力してやって次の画面に進もうとすると、WLWはそのエンドポイントURLに対してまず認証無しでGETリクエストを投げるようです。当然はてなのAtom Pub APIはこれを拒
WSSE認証とパスワードに関する疑問 - F.Ko-Jiの「一秒後は未来」
Atom APIの認証などに利用されるWSSE認証というものがあってちょっと調べています。そこでちょっと疑問点が。 » はてなフォトライフAtomAPIとは – はてなキーワード にWSSE認証に関する説明があって、これを読むと X-WSSE ヘッダには Username: ユーザID Nonce: トークン Created: Nonceが作成された日時 PasswordDigest: Nonce, Created, パスワードを文字列連結し、SHA1でハッシュ化し、さらにBase64エンコードした文字列 という情報を入れてあげる必要があるようです。で、疑問に思ったのは PasswordDigest のところ。 PasswordDigest は SHA1で暗号化されていて、SHA1 を解読するアルゴリズムは知らないので PasswordDigest は不可逆なものです。 そのため受け取った
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう
うごメモはてなのXSS - 素人がプログラミングを勉強していたブログ
isocchi.com