パスワードを忘れた? アカウント作成
12741364 story
セキュリティ

米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに 26

ストーリー by hylom
これはアウトか 部門より
あるAnonymous Coward 曰く、

米ニュース系メディアCNBCが火曜日に「安全なパスワードを作成するためのヒント」という記事を掲載した。しかし、皮肉なことにその記事が人々のパスワードを暴露する結果になってしまったそうだ(PCWorldTNWEXTREMETECHSlashdot)。

問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。

さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。その証拠として同氏はスクリーンショットを公開している。批判を受けてCNBCは記事を削除したが、各種メディアにスクリーンショット入りで紹介される事態となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nemui4 (20313) on 2016年04月05日 8時02分 (#2992109) 日記

    個人情報に紐付いていないならそんなに責められる程でもないとは思うけど、保存しないと言いつつやっちゃってたのはアウトですね。

    最初から、調査のためにパスワード情報を保存しますがアクセス元や個人情報は一切取得しません。
    とか宣言しておいたらまだ良かったのに。
    それでも入力する人はもうしょうがないし、おそらく多くの人は素のままでは入れないから収集結果は微妙になりそうだけど。

    たまに見かける「良くあるパスワードランキング」もこれで出来そう。
    実際は、お漏らしされたパスワード情報を元にしてるんだろうけど。

    • by Anonymous Coward

      > 保存しないと言いつつやっちゃってたのはアウトですね。

      最初から悪用するつもりの故意犯も「保存しない」と言うでしょうし、
      そうでなくても、「保存しない」と言ったことはバグがないことを保証するものではありませんので、
      自衛のためには、あまり信用するなってことですね。

      • by nemui4 (20313) on 2016年04月05日 8時43分 (#2992122) 日記

        イマドキのネットリテラシー(?)だとこうなるのかも

        △自衛のためには、あまり信用するなってことですね。
        ○自衛のためには、信用するなってことですね。

        親コメント
        • by Anonymous Coward

          ネットを全く信用しないと仕事にならないし不便すぎるので、どこかで折り合いを付けることになると思います。

          ただし、パスワード診断なんて、重要じゃないし万一の際のダメージが大きいので、「全く信用しない」で良いと思いますが。

          • by nemui4 (20313) on 2016年04月05日 11時27分 (#2992202) 日記

            こういうのはある程度の危険性を予想した上でお遊びでやるのなら良さそうですね。
            本当に自分がメインで利用しているパスワードをこの手のにホイホイ入れちゃう人が居るとヤバイし。

            主催者の方も、「実際に利用しているパスワードは入れないように」とでも警告を出しておけば良かったかも。
            続けてセキュリティ薀蓄かその手の教育サイトへのリンクも提示しておけば良さそう。

            親コメント
          • by Anonymous Coward

            他サービスのパスワードを入れさせるようなのは全部信用しないことにしてる。

            SNSで、他社メールサービスのアドレス帳やメールボックスにアクセスして友達を探してくれるようなやつとか。

    • by Anonymous Coward

      暗号化してようが通信した時点でアウト

      • by nemui4 (20313) on 2016年04月05日 10時58分 (#2992185) 日記

        >暗号化してようが通信した時点でアウト

        ネットはもう使わないほうが良さそうだね。

        親コメント
      • by Anonymous Coward

        暗号化してようが通信した時点でアウト

        通信した時点でアウトなんだ。

        • by Anonymous Coward

          別ACですが、理想としては
          『暗号化してようが』『通信した時点でアウト』
          のはずですね。
          パスワードをハッシュ化した値を使って、各種トークンを計算した値をやりとりするというのが正しい。

          • by Anonymous Coward

            あのう…そのハッシュ化を暗号化というのですよ…

            • by Anonymous Coward
              その両者を同じだと思うのはよくある勘違いですね。
              • by Anonymous Coward

                ククク…不可逆暗号という言葉を知らないようだな…ACは大きなお友達の中でも最弱…

                # 最弱なのでAC

            • by Anonymous Coward

              ハッシュ化は(原理上衝突が必ずあり解読できないので)狭義の暗号化ではありません。
              またハッシュそのものやハッシュを加工した値も通信するわけではありません。

  • 帰るまでが遠足 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2016年04月05日 8時07分 (#2992111)

    事の顛末で緩いパスワード管理のリスクを理解するところまでが「安全なパスワードを作成するためのヒント」

  • by ymasa (31598) on 2016年04月05日 10時52分 (#2992179) 日記

    >「娯楽と教育目的のみ使用され、パスワードは保存しない」

    娯楽と教育には使用するんですね。

    • by Anonymous Coward

      俺って頭固いなあ、娯楽のまともないいわけが思いつかない

      • by Anonymous Coward

        「よく使われてるこのパスワードが危ないランキング」を作って公開し、
        「111111とか常識的にありえんだろwwwww」みたいに楽しむ。

        #まともかどうかはわからない

  • by Anonymous Coward on 2016年04月05日 8時18分 (#2992114)

    CNBCにとって娯楽だったんじゃねーの? つーかこんなこと書いてるのに入れちゃうんだ…。

    • by Anonymous Coward

      社内でコンプライアンス教育のネタに使わせて頂きます

      という話かもしれない

    • by Anonymous Coward

      バカ正直に今使っているパスワードを入力した人はどのくらいいるんだろう

  • by Anonymous Coward on 2016年04月05日 9時01分 (#2992132)

    コメント中に(自分の?)パスワードを書くと、********になるとあるけど本当?
    sradではどうなんだろう?

    ちょっとテストしてみます:
     
    anonymous

    うーん、釣りか?

    • by Anonymous Coward

      釣る気があるならせめてIDで書くとか
      「うーん、釣りか?」は返信として書くとかしないと・・・

      • by masakun (31656) on 2016年04月05日 11時27分 (#2992201) 日記

        スラドのログインパスワードで anonymous は使えなかったはず。

        ログイン状態でコメント投稿モードを「コード」に変えてパスワードを書いてみればよかったんじゃなかったか。

        --
        モデレータは基本役立たずなの気にしてないよ
        親コメント
  • by Anonymous Coward on 2016年04月05日 9時54分 (#2992153)

    海外の記事なら誰が書いたかの記名が重要だと思うのですが………米スラドのリンクを見る限り「Nicholas Wells [cnbc.com]」氏でしょうか?

  • by Anonymous Coward on 2016年04月05日 17時05分 (#2992444)

    実行したらあかんタイプだなぁ...

    # 警告バリバリなページに遷移して「パスワードを不要に入力するのは危険です password:xxxxx」とか表示するならまだよかったのに

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...