パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

情報公開請求でコロナ患者管理システムの認証情報が漏洩、大阪市」記事へのコメント

  • 「同システムには2段階認証が設定されているが、第三者のアクセスに対しても認証してしまった可能性があるという。」
    https://www.security-next.com/136220 [security-next.com]

    HER-SYSの二段階認証はサインインのたびに電話かSMSでコードを受け取ってそれを入力するタイプっぽいけど、第三者はそれをどうやって突破したんだろう。
    二段階認証担当者が効いてくる相手を確認せずに無条件でコードを教えていたとか?
    それなら二段階認証の運用に問題がありそう。。

    • by Anonymous Coward
      リンク先から抜粋引用

      >電話の場合、システムからコールバックに応答し、プッシュボタンを押すことで認証が完了するしくみ。

      >同市保健所の電話回線に限りがあり、ひとつの回線を複数職員で共有し、電話認証にも利用していたという。

      頻繁にログインが行われるシステムみたいだから、第三者がログイン試行した時に、たまたま職員がログインしようとしていたら、かかってきた先の第三者の試行に対する認証電話に対して操作を行なってしまうんでしょうね。
      • by Anonymous Coward

        ありがとうございます、リンク先下部の「次へ」ボタンに気づいておらず、
        記事の続きを読めていませんでした。

        記事を細切れにしてページを分けるのはビューを稼いで広告収入を上げるためで、
        インターネットの広告モデルのダメな部分だ!(八つ当たり)。

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...