パスワードを忘れた? アカウント作成
13936060 story
暗号

VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」? 67

ストーリー by hylom
定番のエンコード方式ですね 部門より

Anonymous Coward曰く、

4月にスタートした、株式会社ZIGが運営するVTuberファンコミュニティサイト「MeChu」で利用者のユーザー名およびメールアドレス、パスワードが漏洩する事件が発生した(ニュースリリースTwitterでの告知ZIPによる「お詫びとご報告」1「お詫びとご報告」2)。

管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもので、パスワードはエンコードされていたものの容易に復号できたという。記事内で使用しているツールから、Base64でエンコードされていただけのものと見られている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日テレも噛んでるんやろか

    • by Anonymous Coward

      複数ファイルをダウンロードすると、ZIP でアーカイブされるんですよ。たぶん。

      • by Anonymous Coward

        そのうえ、日本語ファイル名を使うと、文字化けが起きることがあるらしい

    • by Anonymous Coward

      hylom方式を使用した不可逆暗号化です。

    • by Anonymous Coward

      そうやで

  • by Anonymous Coward on 2019年06月17日 15時49分 (#3634889)

    「暗号化」とか言い出しそうw

    • by Anonymous Coward

      電子化も必要ないと思う。

      例えば縦読みだって、縦読みというキーを共有した人々だけで情報を共有する一種の暗号だよね。

      • by Anonymous Coward

        縦読みは本当に暗号なんだから、元コメの意見とはズレてる。

        • by Anonymous Coward

          base64だってビット置換暗号だろうに。

          • by Anonymous Coward

            その文がbase64と知られていない前提ならば
            シーザー暗号の変種と言えなくもないかもしらんが、
            「base64」自体はどう転んでも符号化であって暗号の要素なんか無いだろ

            仕様自体を鍵だと言い張るつまらん言葉遊びのつもりだったか

    • by Anonymous Coward

      もともと暗号・復号はencode/decodeの和訳で、encrypt/decryptが流行り出してから符号化とか言い出したんで、間違いとも言い切れないんじゃないかな。

      • by Anonymous Coward

        > ・パスワードの暗号に復号が容易な脆弱性が認められた

        こんな連中を擁護すんじゃねーよ。
        H.264とかも暗号だって言い張るんですか?
        そもそもBASE64なんて、イマドキ使わないような技術を態々持ち出した時点で、内容は理解してるはずでしょう。
        脆弱性というのは、こういう連中が間違いを間違いと認めずに、システムに絡む事自体でしょう。

        • むっちゃ使うで…
          メールに添付するたびに使うし
          本文もbase64のutf8とかも多いでしょ

          親コメント
          • by Anonymous Coward

            件名はutf8に限らずascii文字以外全部符号化してますよ

        • by Anonymous Coward on 2019年06月17日 18時48分 (#3635024)

          こんな連中を擁護すんじゃねーよ。

          こういう相手によって論理を歪める発想は本当に迷惑。思考実験の余裕が無くて結論が先行してるの。

          暗号化されてたってアウトなんだからそもそも擁護にもなってないし。

          親コメント
          • by Anonymous Coward

            それは違うでしょう。
            言い訳なのか本気なのか知りませんが、Base64に脆弱性があったって発表してるんですよ。
            開発者が異常だったんであって、Base64は何も問題が無いのは分かりますよね?

            こういう自分以外に責任を負わせるスタイルは、ホント迷惑なので周りも言い訳を与えたり理解を示したりしないで欲しい。

            # Base64は脆弱だから治せとかいう案件増えそう

            • by Anonymous Coward

              > パスワードの暗号に復号が容易な脆弱性が認められたので、

              たしかにこう言われると「暗号化」しているように見えますな。。

              でも普通の技術者なら「Base64」で符号化したデータを「暗号化」とは
              呼ばないのでごまかしているように見えます。

              ただし、これらのプレスリリースの場合、微妙ですが「脆弱性」があることは
              認めてますので、どっちでもいいといえばどっちでもいいのかもしれません。

              もし、民事で漏洩責任を争った場合、「暗号化してないから」という理由で敗訴して欲しいのは確か。。

            • by Anonymous Coward

              えーと、何を「違う」と仰っているのか指し示してもらえませんかね…

    • by Anonymous Coward

      そのうちって、既に言われてるんやで。
      知らぬが仏。

  • by Anonymous Coward on 2019年06月17日 15時53分 (#3634890)

    アクセス管理者による防御措置 [e-gov.go.jp]違反かな?

    第八条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

    #ただし罰則はない

  • by Anonymous Coward on 2019年06月17日 16時02分 (#3634901)

    記事内で使用しているツールから

    リンクは公式サイトのものとツールへのリンクだけで、「ツールを使用している記事」が見当たらないんだけど…

  • by Anonymous Coward on 2019年06月17日 16時19分 (#3634917)

    >管理者向け画面のソース内に全ユーザーのものと思われるユーザー名、メールアドレス、「暗号化」されたパスワードが含まれていたというもの

    これが本当なら、なんの目的でこんな作りにしたんだろう。
    「ソース画面」ってHTMLのソースって意味でいいんだよね?コメントにして画面では非表示にしてたってことなのかな。
    正直目的がさっぱりわからない。忘れたユーザーに復号して教えてあげるため?それにしてもちゃんとした暗号化すればよかったのに・・・

    自分はいつもハッシュ化したものをDBに保存するけど、それを表示するページは作ったことないな。

    • by t-wata (10969) on 2019年06月17日 17時11分 (#3634952) 日記

      人為的ミスでしょう。実際に見たとかじゃないので単なる予想ですが、
      DBがやたらアクセス制限しているせいで、DBの中身を見るためにクライアントを繋げることが困難(sshでトンネル張ればできるんだけど面倒)とかで、仕方ないのでクエリの結果をソースに書き込んで、ユーザー作成時にテーブルの中身が正常に更新されることを確認してた、とか。それで戻すの忘れ、テストでもソースまで見ないし誰も気づかないままリリースされて発覚に至る、的な。そんなとこでしょう。全ユーザーのユーザー名・パスワードがが含まれたっていうのはたまたまで同じページをデバッグ的な感じで使い回していたんじゃないかな、と予想。

      親コメント
      • by Anonymous Coward

        バックエンドはFirebaseやで。
        なのでアクセス制限でガチガチなわけがない。

      • by Anonymous Coward

        タレコミ人(#3635021) [srad.jp]が貼ってたのに消されたリンク [note.mu]の内容からすると、
        漏れるユーザはアクセスしたページに関連するユーザで、
        予測可能なURLだった管理画面からは全ユーザの情報が漏れていたっぽい。

        ページ内スクリプトで必要なデータをページアクセスのリクエスト時にクエリして、
        結果を埋め込んでたんじゃ無いですかね。
        で、アクセス先ページで必要なユーザだけをユーザ情報テーブルから抽出するクエリは書いたけど、
        取得するカラム無制限にしてたとかでメールアドレスからパスまで全部ダンプされたと。

    • by Anonymous Coward

      それにしてもちゃんとした暗号化すればよかったのに・・・

      「暗号化したパスワード」をブラウザ側で復号可能であれば、暗号化したところで「ちょっと手間が増えるだけ」程度にしかならない。
      サーバから復号鍵を受け取るようにすればソースを見ただけでは復号できなくはなるけど、そんなことするならブラウザ側でハッシュと照合するようにした方が楽。

      というわけで暗号化したパスワードをブラウザに送るのも無意味な気がするなぁ

    • by Anonymous Coward

      CGIの類を設置するときに必ず毎回やる(おいこら)、スクリプトとして実行する設定がどこか抜けてて、アクセスするとソースコードが丸見えになるバグとかは? そして、password.jsonとかpassword.phpとかで保存していて、index.cgiかindex.phpから読み込む設定だったのが、それらのファイルも丸見えだったとか。

      なんだかよく分からないままbase64使っちゃうような技術レベルの方々が何かやらかしてそれを自分たちなりの言葉で説明したこと、をきちんと読み解くのはほんとむつかしいな。先生なんぞやってると、そんな質問だらけだけど。

    • by Anonymous Coward

      たぶん、暗号化何にするか未決定なのでとりあえずbase64で仮実装→直されずそのまま
      こんな感じじゃないかな?
      #生テキストじゃなきゃ良いと思ってるのが役職に多い

    • by Anonymous Coward

      元記事のSS画像を見るとJSON形式っぽいので、そのデータを使って何らかのユーザ管理の処理をする仕様だった気がする。
      本来は管理画面に入るためにBasic認証とかをかけとかなきゃいけないのに、それが抜けてて丸見えになってたという稀によくあるパターンじゃないかと。
      ここまでへっぽこな仕様で情報流出をしてると、何をやらかしても不思議ではないから困る。

  • by Anonymous Coward on 2019年06月17日 16時51分 (#3634936)

    あれはバーチャルボーイか。

    • VTuberファミコンミニサイトに見えて
      「ファミコンミニ発売で盛り上がってるコミュニティかなー?プレイ実況系?」
      と妄想しましたがそんなことはなかったぜ・・・・

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
  • by Anonymous Coward on 2019年06月17日 20時03分 (#3635090)

    みたいなのが作ったんでしょ
    動けばいいとしか考えてない発注側も同罪や

  • by Anonymous Coward on 2019年06月17日 20時39分 (#3635118)

    スマホ版スラド [m.srad.jp]のHOMEのトピック一覧にこのトピックが表示されてないみたいだけどバグ?

    • by Anonymous Coward

      モバイル版は記事一覧をさかのぼっていくと
      古い記事が表示されるはずの場所にトップページ掲載レベルの新しい記事が表示されたりもするよ
      (同じ記事が重複表示され、そのぶん古い記事が表示されない)
      sradがスラドになったあたりからずーっとそうよ

      • by Anonymous Coward

        sradがスラドになったあたり

        いつ頃ですかね

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...