パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13827760 story
セキュリティ

匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 44

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された(ITmedia)。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表しているITmedia)。

13826871 story
インターネット

Anonymous、ロシアの政治家などがやり取りしたメッセージなどのデータを公開 27

ストーリー by hylom
おそロシア 部門より

ハッカー集団Anonymous(アノニマス)が、ロシアの政治家やジャーナリスト、財閥、宗教的指導者およびウクライナの愛国者/テロリストがやり取りしたメッセージやファイルを公開したとの声明を出している(AnonymousのTweetNew York Times)。このデータはInternet Archiveのミラーサイトからダウンロードできる状態になっていたようだが、現時点ではアクセスできないようだ。

これらのデータの合計サイズは108GBとのことで、「The Dark Side of the Kremlin」と名付けられている。

13826845 story
IT

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 93

ストーリー by hylom
2次被害が予想されます 部門より

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが(過去記事)、漏洩した情報には「暗号化されていない」パスワードが含まれていたという(宅ふぁいる便による「お知らせ」)。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。

13826761 story
Java

1月末でOracle Java SE8の無償アップデートが終了 29

ストーリー by hylom
ご対応を 部門より

2019年1月末で、商用ユーザー向けのJava SE 8の公式アップデートが終了する(Oracle Java SE サポート・ロードマップ)。

なお、有償のPremier SupportおよびExtended Supportではアップデートがそれぞれ2022年3月、2025年3月まで提供される(過去記事)。また、個人ユーザー向けには2020年12月末まで公式アップデートおよび自動更新が提供される。

13826607 story
セキュリティ

大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 20

ストーリー by hylom
権限分離してないのか 部門より

大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した(piyologINTERNET Watch)。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。

大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。

13825925 story
インターネット

第三者向けにJavaScriptコードを提供していたドメインが乗っ取られ悪用される事例 35

ストーリー by hylom
ありそう 部門より

有効期限が過ぎたまま放置されたドメインが第三者に乗っ取られることはよくあるが、かつてJavaScriptコードを第三者向けに配信していたドメインが乗っ取られ、悪意のあるコードが配信されるというケースがあるようだ(tike blog)。

画像やコンテンツなどの場合、意図したものではないものに置き換えられていた場合は閲覧者が比較的容易に判別できるが、JavaScriptコードについては注意してチェックしない限り気付きにくいという問題があるという。先のブログでは、放置されたドメインを大量に取得し、これとCDNを組み合わせて情報を送信させるような例が紹介されている。

13825020 story
情報漏洩

60万サイトで使われるWordpress多言語プラグインWPML、サイトがハッキングされ情報流出 3

ストーリー by hylom
退職者のアカウントはちゃんと削除しましょう 部門より

サイトを多言語対応させるためのWordPress向けプラグイン「The WordPress Multilingual Plugin(WPML)」の開発チームで働いていた元従業員がWPMLのWebサイトを乗っ取り、その顧客に修正されていないセキュリティホールの存在を知らせるメールを大量送信したそうだ(ZDNetwelivesecurity)。

このメールでは、プラグインを利用することで脆弱性が生じる可能性があるということを伝えていたという。WPMLの開発者によると、WPMLのサイトに元従業員によってバックドアが仕掛けられており、これが悪用されたという。

また、これに関連して顧客の氏名やメールアドレス、さらにWPMLのアカウントが流出した可能性もあるとし、顧客に対してはパスワード変更などを行うことを推奨している。

13824288 story
アメリカ合衆国

ニューアーク国際空港で遅延を発生させた上空でのドローン目撃情報、実際にはドローンではなかった可能性も 36

ストーリー by headless
目撃 部門より
ニューアーク・リバティー国際空港で22日、上空からのドローン目撃情報による遅延が発生したそうだ(ABC Newsの記事The Vergeの記事SlashGearの記事CNNの記事)。

目撃情報は2件。いずれもニューアークへ向かう旅客機からの報告で、24kmほど離れたところにある同じニュージャージー州内のテターボロ空港上空約3,500フィートで目撃されたという。機長の1人は最終着陸態勢中にドローンのようなものが右翼の30フィート以内まで接近したと述べているそうだ。これを受けて連邦航空局ではニューアークへの到着便の受け入れを一時停止した。その後さらなる目撃情報がなかったため短時間で再開されたものの、ニューアークへ向かう一部の便は出発地で一時待機することになったとのこと。

しかし、FAAでは目撃された物体がドローンかどうか確認できていないという。また、DJIのBrendan Schulman氏は風船か何かをドローンと見間違えたのではないかとの見方を示しているそうだ。ドローンは高度3,500フィートで目撃されたが、FAAでは高度400フィートを超えるドローンの飛行を許可していない。個別に許可を得れば高度400フィート以上での飛行も可能とはいえ、その可能性は非常に低いとSchulman氏は語る。ロンドン・ガトウィック空港やヒースロー空港でのドローン侵入騒ぎ以降、人々は空を飛ぶ物体をドローンと判断してしまいがちになっているとのことだ(Chicago Tribuneの記事)。
13823696 story
情報漏洩

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 137

ストーリー by headless
漏洩 部門より
オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。
13823282 story
Google

Google、フィッシングメールの見分け方を学習できるクイズを公開 21

ストーリー by hylom
フィッシングメールとしてクイズが送られてくるわけではない 部門より
headless曰く、

Googleは22日、クイズ形式でフィッシングメールの見分け方を学習できる「Phishing Quiz」を公開した(MediumThe VergeSlashGearMashable)。

クイズを開発したJigsawによれば、毎日数百万人がフィッシングメールのリンクをクリックしていることから、フィッシングメールが使用する偽装テクニックとともに見分け方を学習できるようにすることが目的だという。クイズは全8問。Jigsawがジャーナリストや活動家、政治的指導者を対象に世界中で実施しているセキュリティトレーニングをベースにしているそうだ。

なお、冒頭で名前と電子メールアドレスの入力を求められるが、これらはクイズで表示するためだけに使用され、外部に送信されることはないとのこと。そのため、必ずしも自分の名前と電子メールアドレスである必要はない。スラドの皆さんには物足りないかもしれないが、ご感想はいかがだろう。

13821592 story
セキュリティ

新潟県警のサーバーに攻撃、荒らし行為のための踏み台にされた疑いも 48

ストーリー by hylom
タイムリーに悪用された模様 部門より

新潟県警察のサーバーが攻撃を受けて乗っ取られ、荒らし行為などの踏み台として使われた可能性があるという(NHKpiyolog)。

新潟県警のWebサイトが改ざんされていたことが確認されたほか、5ちゃんねるなどのネット掲示板に対し不適切な投稿を行う荒らし行為の踏み台として使われていた可能性もあるようだ。

新潟県警によると、「ホームページ上の警察への情報提供や意見などを書き込む画面のプログラムに欠陥が見つかった」という。

13821297 story
PHP

PHP向けパッケージ管理ツールPEARへの攻撃が確認される、過去半年にわたって改竄の可能性 26

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

PHP向けのパッケージ管理ツールPEAR(Wikiepdiaページ)の公式サイトpear.php.netが19日、攻撃を受けた痕跡が見つかり、さらに改竄されたgo-pear.pharが発見されたことを明らかにした(今回のクラッキングに関するアナウンス)。

PEARは公式サイトをクリーンな状態で再構築しようと試みており、いまだサイトは停止中の状態にある。過去半年以内に公式サイトで配布されていたgo-pear.pharは改竄されていた可能性があるとのことで、ダウンロードしたユーザーにはGitHubのリリースページを元にハッシュのチェックや、再ダウンロードを行うよう呼びかけられている(改竄対策のアナウンス)。

最近ではPHPのライブラリ周りはComposerへの移行が進んでおり、PEARを使う機会は少ないかもしれないが、該当する方は注意されたし。

13819473 story
Android

Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 70

ストーリー by hylom
どっちにしろ信用はできなさそうな 部門より
maia曰く、

ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。

「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。

9to5GoogleAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。

13818689 story
情報漏洩

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 42

ストーリー by headless
確認 部門より
電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事KrebsOnSecurityの記事Ars Technicaの記事Mashableの記事)。

Have I Been Pwned?のTroy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。
13817742 story
プライバシ

米連邦地裁、生体認証によるデバイスのロック解除強制は憲法違反との判断 15

ストーリー by hylom
合法という判断だったはずが 部門より
headless曰く、

米国・カリフォルニア北部地区のKandis Westmore下級判事は10日、生体認証によるデバイスのロック解除を強制することは合衆国憲法修正第5条に違反するとの判断を示した(裁判所文書The Next WebArs TechnicaThe Register)。

本件は恐喝事件にかかわったとされる2名を対象とした捜査令状の請求に関するものだ。捜査当局(政府)は2名が使用するFacebook Messengerのログに証拠が含まれると考え、生体認証によるスマートフォンのロック解除強制を含む捜査令状を請求したが、判事は修正第5条だけでなく修正第4条にも違反すると判断している。

修正第4条では人々が不合理な捜査や押収から身体や家屋、文書、所有物を守る権利を保証している。請求された令状では、捜査対象者の自宅にいる人物全員に対し、その人物の持ち物だと考えられるデバイスを生体認証によりロック解除させることや、すべてのデバイスを持ち主にかかわらず押収することを求めており、判事は適用範囲が広すぎ、相当な理由がないと判断している。

修正第5条は自分に不利な証言を強制されない権利を保証しているが、これまで指紋などによる生体認証は対象外との判断も示されている。しかし、判事は連邦最高裁が「すでに使われているか、開発中のより洗練されたシステムを考慮すべき」と指示したことや、市民は新しいテクノロジーを利用するにあたって権利を放棄することになるとは考えていないと結論付けたことを挙げ、生体認証はパスコードのショートカットであり、パスコードと同様の証言に該当すると述べている。

また、指紋認証を実行させることは指紋データベースと照合するために指紋を提出させるのとは異なる点や、金庫を開けて文書を提出させるのとは異なる点なども指摘している。合法的に差し押さえたデバイスの内容にアクセスしたいという政府の考えには共感できるという判事だが、憲法に違反する行為は認められないとし、証拠がFacebook Messengerのログに含まれるなら手間がかかってもFacebookにログの開示を求めればいいとも述べている。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...