米アダルトサイトにクラッカーが侵入、7万人の個人情報が流出 48
ストーリー by hylom
利用者の精神的ダメージも大きそう 部門より
利用者の精神的ダメージも大きそう 部門より
あるAnonymous Coward 曰く、
時事通信やBBCの報道によると、米アダルトサイトのDigital Playgroundに「The Consortium」と名乗るクラッカーが侵入、7万3千人以上の個人情報が流出したという。
流出した情報にはメールアドレス、ユーザー名、パスワード、並びに4万件以上のクレジットカード番号とその有効期限、並びにセキュリティコードが含まれているとのこと。かつ、カード番号などは暗号化されていなかったという。
The Consortiumは盗み出したデータの一部とコメントを公表しており、それによればこのAVサイトのセキュリティは穴だらけで、この会社が実在することを知らなければ何かのジョークだと思った、というレベルだったそうだ。
つかっててよかったワンタイムデビット (スコア:3, 興味深い)
そもそもセキュリティなんぞ全く信用していないので、工口い海外サイト使う時はかならずJNBのワンタイムデビットを使っています!
決済一回使い切りなので非常にセキュアで便利ですよ。
#JNBのステマ
#信用してないなら使わないという選択肢はないのかと言うごもっともな話は無視の方向で
Re:つかっててよかったワンタイムデビット (スコア:3, 参考になる)
似たようなサービスのVプリカ [lifecard.co.jp]を使ってみたことがありますが、
利用できないカードだと蹴られるエロサイトが多かったです。
ワンタイムデビットの方がエロサイトで使用できる確率高いんでしょうか・・・?
DMM [dmm.com]なんかは最初から使用できないと謳っているみたいですし。
Re:つかっててよかったワンタイムデビット (スコア:2, 参考になる)
VプリカよりJNBのほうがまだマシだと思います。構造的にVプリカは3Dセキュアが必須になっているサイトでは使えないので、一部の決済代行システムでは使えなかったり。
ただデビットなのは一緒なので、JNBの奴がはじかれたのはJNBが駄目と言うより経験的に
・デビットは全部NGのサイト
・継続換金ができるカードではないと登録できないサイト
・特定の国のカードじゃ無いと使えないサイト
は駄目という話のようです。DMMは継続換金ができるカード以外は蹴ってるようですね。有名どころだと、DTIって言う決済システムを使っているところは一回契約でも月額扱いになるので駄目ですね。
ただ日本(語)向け以外のサイトだとわりとOKなところ多いのですよ。
たとえば月換金のプランは駄目でも、3ヶ月契約のプランだと登録できたりだとかいうケースもありましたねー。あちらではデビットがわりと一般的だからでしょうか。わたしはそっちの方が好みなので(以下略
#まぁ私もそれほどたくさんつかってるわけじゃないんでアレですけど
#工口い人なのでAC
Re: (スコア:0)
・継続換金ができるカードではないと登録できないサイト
DMMは継続換金ができるカード以外は蹴って
たとえば月換金のプランは
1つくらいなら課金のtypoかと思ったんだけど、
この場合の換金って、どういう意味?
Re: (スコア:0)
そういうサービスは一見すると便利なんですが、マイナーカードのような扱いで決済にはじかれたりしますよね。大手サイトなら概ね問題なく通るんですが、本当に利用したい中小のサイトで顕著なのが痛し痒しです。
代わりにWebマネーやコンビニ決済を使おうにも、そういうサイトに限って対応してないし。
Re: (スコア:0)
中小のアダルトサイトは、クレジットカードが18歳未満の人間は(原則)持てないことを利用して年齢認証しているためカード決済専用になっているところが多いようですね。そう言う所向けに年齢認証付きのプリペイドもあるようですけど今一普及してないというか。
アダルトサイトって・・・ (スコア:2)
そもそも、セキュリティは甘いですよ。 守るよりも、復旧までの時間が優先されますから。
hoihoi-p 得意淡然、失意泰然。
Re: (スコア:0)
復旧とファックユーをかけてるのか?
いや、念のためだ
関連ストーリー (スコア:1)
「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 http://security.srad.jp/story/10/04/06/0655212/ [srad.jp]
「メッセサンオー、閉店」 http://srad.jp/story/12/01/16/1342216/ [srad.jp]
Re: (スコア:0)
閉店の方は何の関係があるのかさっぱり分からん。
Re: (スコア:0)
信用無くして潰れた、って言いたいんでしょうね。
通販でアダルトソフト売って持ってたようなもん、と聞いたことがあるので、
実際も元ACの想像通りだと思いますが。
私も (スコア:1)
日々アダルトサイトを見て個人情報を流出させています
Re:私も (スコア:5, おもしろおかしい)
主に個人の遺伝に関する情報ですね?
Re: (スコア:0)
同じ情報のコピーを1億個くらい流出させているので、もはや機密情報とは言えないレベルですね
Re: (スコア:0)
同じ情報じゃないよ!
減数分裂でぐぐってみそ。
Re: (スコア:0)
ゴミ箱以外に情報の受け取り手がいない例を流出と呼んでよいものか。
Re: (スコア:0)
ゴミの日に出して持っていってもらってるだろ
# それが流出でないならシュレッダーなぞ要らんわ
Re: (スコア:0)
しかし小さすぎてシュレッダーは役に立ちません。燃やすと変な臭いが出そうです。どう処理するのが適切でしょうか。
Re: (スコア:0)
氷結して処理は後世にゆだねましょう。
Re: (スコア:0)
酵素で分解できないか?
つまり酵素入りの洗剤と一緒に洗濯機に入れろと。
Re: (スコア:0)
トイレとかお風呂の排水溝とか
#お風呂は後で大変なことになるからやめましょう
クラッカーはとっとと捕まえてほしいですね (スコア:0)
この手のアホは逮捕して厳罰に処するのが重要ですね
こういった連中がどんな経歴を持った人物で何が目的なのか興味あるわー
Re: (スコア:0)
>こういった連中がどんな経歴を持った人物で何が目的なのか興味あるわー
目的はお金に決まってるでしょ。
この件をネタにユーザを脅迫できるし、個人情報を
別のアダルトサイト事業者へ売り飛ばすこともできる。
まさか未だに、クラッカーが愉快犯だとか思ってないよね?
Re: (スコア:0)
> 目的はお金に決まってるでしょ。
目的はお金だけなのか疑問だね
単に金銭をタカりたいなら公表前に交渉したほうが賢いだろうし
セキュリティについてどうこうコメント付けるのも不自然
セキュリティの弱いサイトを発見して攻撃できるだけの技量があって
セキュリティが弱いと公表することによって利益を得られる立場にある人物
ということなら納得できるのだけどね
まあそういう職業もあるよね
Re:クラッカーはとっとと捕まえてほしいですね (スコア:1)
情報を売ることで儲けている「目的はお金」のケースが、公表されないまま沢山あるのではないかと予測。
サイト管理者もとっとと捕まえてほしい (スコア:0)
こんだけ攻撃やら漏洩やらが相次いでる昨今、個人情報をノーガード戦法で管理するようなアホは業務上過失なんたらとかの罪で逮捕できるようにしてもらいたいもんだ。
Re:サイト管理者もとっとと捕まえてほしい (スコア:1)
不正アクセス禁止法はサイト管理者にも努力義務を課してるはずなんですけどもちろん誰も気にしていません。
流出した情報 (スコア:0)
カード番号が流出したことよりも、アダルトサイトの会員だったことがばれることのほうが・・・
#どこまで情報が流出したんでしょうね。閲覧履歴とかは個人情報になるのかな?
たぶん「全部」漏れてる (スコア:0)
BBCの記事だと、
と、管理者のユーザー名やパスワードはもちろんのこと、サーバーの詳細やライセンスキーを含んだ内部メールとかまで晒されてるらしいので、このサーバーにあった情報はそれこそもう「全部」抜かれちゃってるんじゃないですかね。
件数的にはそれほどでもないけど、アダルトサイトという事情もかんがみるにまーこれは悲惨すぎると思わざる得ないわ(汗
あぶない、あぶない (スコア:0)
これがVideoBox, ZeroTolerance, DevilsFilm, RedLightDistrict, AbbyWinters, EvilAngelだったら即死だった
カード番号を暗号化する必要が? (スコア:0)
カードの表、裏に記載されているような内容が暗号化必須だと言うなら運用が間違ってるんでは
間違ってるのは誰なのかはとりあえず置いといて
Re:カード番号を暗号化する必要が? (スコア:1)
単に、ディスク上で暗号化されてたとしても、決済を行う際にカード番号を復号化して送る仕組みだったら、 金庫の鍵を閉めてその鍵を金庫脇の机に仕舞っておくような実装になってさしたる意味はありませんし。
例えば、カード会社が各事業者に対して公開鍵を発行、各事業者はカード番号を発行された公開鍵で暗号化した後の物のみを保存、 決済時はその「暗号化されたデータ」で処理が済む、と言うような実装にしておけば、流出しても問題が大きくならない暗号化は可能ですが、そんな風になってるんでしょうか?
Re:カード番号を暗号化する必要が? (スコア:1)
事業者はふつう自らカード番号を保存しません。リスクが高すぎるので。カード番号は利用者が最初に入力したときに決済代行会社へ丸投げして、あとの管理は決済代行会社に任せます。
Re:カード番号を暗号化する必要が? (スコア:1)
Re:カード番号を暗号化する必要が? (スコア:1)
>事業者はふつう自らカード番号を保存しません。
そういう「ふつう」を信仰するのが最大のセキュリティホールだよね。
Re: (スコア:0)
じゃあプライバシーポリシー読みなさいよ。決済代行会社にカード番号の管理を委託するなら必ず記載されてるから。
Re: (スコア:0)
Re: (スコア:0)
> 固くするのが基本
アダルトサイトですからね。
Re: (スコア:0)
接して漏らさず、が竿師のポリシーなのにね
攻めは硬く、受けは柔らかく?
会員の微妙な情報 (スコア:0)
時事通信の記事にある「会員の微妙な情報」ってのは一体どこから出てきたのやら。
Re: (スコア:0)
原文読んでないけど「delicate information」の直訳じゃないかと
セキュリティ関係は専門家による翻訳でも間抜けな直訳が多いですね
Re:会員の微妙な情報 (スコア:1)
やっぱり原文読んでないけどsensitive informationじゃないかなあ。
> セキュリティ関係は専門家による翻訳でも間抜けな直訳が多いですね
大丈夫、しつこく使い続けていれば誰もおかしいと思わなくなるよ。「ユーザー体験」みたいに。
行動履歴の収集もjbeefに見つかる前に後戻り不可能なくらい普及させることができるかが勝負。はてなとマイクロアドはけっこういい線行ってたんだけどねえ。
Re: (スコア:0)
正解
http://www.france24.com/en/20120313-hackers-violate-user-privacy-porn-... [france24.com]
and other sensitive member information
棒だらけよりは良いと思う (スコア:0)
>このAVサイトのセキュリティは穴だらけで
AVサイトとしては正しいんじゃないかな
Re: (スコア:0)
アメリカ人はバックドアが好きだからな
ン年前……… (スコア:0)
SQLインジェクションで抜ける!というのが話題になったときに、日本のアダルトショップが抜かれたことあります。WinMXで貰えると聞いたので………ゲフンゲフン
Re: (スコア:0)
なんかものすごい性的倒錯の話かと思っちゃったじゃないか…
そっちの情報じゃなくて (スコア:0)