パスワードを忘れた? アカウント作成
13147436 story
情報漏洩

コピーガードを開発するDenuvo社、顧客からのメールや営業情報などを流出させる 18

ストーリー by hylom
ガードできなかったか 部門より
insiderman 曰く、

コピーガードを開発するDenuvo社のWebサイトから、顧客からのメールや営業情報などが流出した模様(TorrentFreakArs Technica)。

Webサイトの公開設定に不備があったようで、一部のディレクトリに対して制限無しにアクセスができる状態になっていたようだ。流出したファイルの1つである「Ajax.log」(ファイル名と内容から見るに、問い合わせフォーム等のログと思われる)にはカプコンなど複数のゲームメーカーやGoogleが同社の技術に対して興味を持ち問い合わせを行う内容が含まれていたという。そのほか、営業用の資料なども含まれていたようだ。

流出した情報の中にDenuvoのコピーガードをクラックするために使える情報が含まれているかどうかは不明。今回の件は単にWebサーバーの権限設定ミスのようなので、これ以上の重要な情報はない気はする。

  • by Anonymous Coward on 2017年02月08日 14時39分 (#3157893)

    仮に設定に不備がなかったとしても普通入れないだろ…。

    ここに返信
    • by Anonymous Coward

      Webフォームのアクセス(およびその他)ログですよ?

      • by Anonymous Coward
        いやだから、アクセスログをDocumentRoot以下には普通入れないでしょ……
        • by Anonymous Coward on 2017年02月08日 16時20分 (#3157957)

          フレームワークによっては自分自身(スクリプト)の所属するディレクトリもしくはそのサブディレクトリ以下にしか
          書き込めないのも珍しくないと思います。
          もちろん少々古いとか甘いとか否定はしませんけれど、普通ではないとまでは言えません。

          • by Anonymous Coward

            知識がPerlでCGI使って、で止まっているので教えてほしいのだけど、スクリプトの所属するディレクトリ・サブディレクトリ以外に書き込めるのって危険じゃないの?
            アクセスログを守るために、サーバー全体を危険にさらしている気がしてならない。

            アクセスログをスクリプトが出力するなら、避けようがない?と古い知識では思ったりするので。
            どうしても避けたいのであれば、スクリプトとは別のプロセス・別権限のアクセスログ回収デーモンで、スクリプトがアクセスできない場所にログを移動させるのは思いついたけど。

            ただのアクセスログなら、公開しないディレクトリに保存するようにすればいいけど、というか普通、そうなっているだろうけど。

            • by Anonymous Coward

              書き込んでから気づいたけど、syslogのような外部のロガーにスクリプトから出力すれば、アクセスログは守られるか。

            • by Anonymous Coward

              スクリプトをフレームワーク配下に置いて、フレームワーク以下の書き込みを許せば良い。
              framework root
              ├script(document root)
              └log
              みたいに。

        • by Anonymous Coward

          ディレクトリ権限のミスで片付ける問題じゃ無いよな。
          今時こんな実装するなんて信じられん。

        • by Anonymous Coward

          そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
          この会社は普通じゃなかった、それだけのことだろ。

          ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
          置いていて、社外からもアクセス可能になっちゃってた、といったところか。

          原因が「単にWebサーバーの権限設定ミス」ってのはhylomが言っているだけだし、さすがに
          仕様から見直して対策するんじゃないかな。

          • by Anonymous Coward

            ログ管理サーバからhttpでファイルをGETしたかったとか、そんな理由でDocumentRoot配下に
            置いていて、

            いや、そういうのも普通しませんから……。

            普通はしないことも、100%事故が起こりえないならそれもありですけど、ちょっとしたミスで重大な問題が発生するようなことをしてはいけません。

            人がマニュアルで実行するものには、いつでもちょっとしたミスが起こりえます。

            • by Anonymous Coward

              そんなこと言ったら普通は流出させないんだから、「普通」を基準にしても仕方ない。
              この会社は普通じゃなかった、それだけのことだろ。

              普通の人はコメント読まずに反論なんてしないですよね(棒

        • by Anonymous Coward

          システム屋さんだから違うとは思いますけどね……

          共用サーバ、さくらだとスタンダードとかのクラスを使ってHTMLコーダがポンッ、とディレクトリごと突っ込んでゴニョゴニョっていう。
          一応「.htaccess」は入れておきましたけどね……

  • by Anonymous Coward on 2017年02月08日 14時56分 (#3157904)

    自分のところの顧客情報を自分のところの技術つかってコピーガードすればいいんじゃね?

    ここに返信
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...