■PIXIVのセキュリティに関する問題について

ID漏洩の件

ID見えてるけどいいの？ってやつ。別にIDがバレること自体はたいして問題ありません。twitterも丸見えですね。

問題なのは、IDが外部から見られることをユーザーに知らせてないことと、後述のパスロックが実装されていなかったこと。IDが見られることについては以前から指摘されていましたが、長い間改善されませんでした。定期的に話題になっていましたが、今回はパスロックの件が明らかになったので大きな問題になりました。

パスロックの件

ログイン時に決められた回数間違った情報を入力するとロックがかかって一定時間ログインできなくなったりするのがパスロックです。この機能はtwitterにも実装されています。

pixivにはこの機能がなかったため、パスワードの総当たりが可能でした。時間さえあれば他の人のアカウントでログインできるので、プレミアム登録をしている人はクレジットカードの情報が盗まれる危険がありました。

総当たりは現実には無理だから心配ないという意見もありますが、個人的には辞書アタック程度で突破できるんじゃないかと思います。たかがイラストコミュニティサイトに複雑なパスワードを使う人が多いとは思えないので。

現在は数回間違った情報を入力すると画像認証、さらに間違えるとロックがかかる仕様になっています。IP変えれば意味ありませんが…

ちなみにパスロック実装したよ！ってアナウンスはまだされていません。

adminの件

pixivの粗探しをしていたら管理画面への入り口を発見しちゃったよ、ってやつ。

もちろん管理画面に誰でもアクセスできるのは異常なことです。騒ぎになってからすぐにこの入り口は閉じられましたが、数年間入り口が開かれていた可能性が高い(もともと閉じられていたものをわざわざ公開する理由がない)ため、誰かが侵入に成功していてもおかしくはありません。もし悪意のある人が侵入していたら、全ユーザーのクレジットカード情報を盗んだりpixivにウイルスを仕込んだりできます。

これはあくまでも可能性の話ですが、公式に安全が証明されるまでは警戒するに越したことはありません。運営から個人へのメールでは安全だと言っていますが、短時間で数年間のログを調べることができたのだろうか？と疑問に思います。

It workssl!の件

デフォルトで「It works!」と表示されるところに「It workssl!」という表示が出た問題。

打ち間違いか、lsコマンドをミスしてslと打ち込んだ人を馬鹿にするためのプログラムと絡めたジョークではないかという意見もあります。運営のお遊びだとして、このようなジョークを仕込めるほどの人がいるのにadmin画面を公開するようなヘマをするだろうか？ユーモアのあるハッカーの仕業では？公式の発表がないのでなんとも言えないところです…

さいごに

とても短くまとめたので、詳しいことが知りたい人は他のまとめを探して読むことをおすすめします。はてなにも分かりやすいまとめがあります。

札束枕とか言ってた頃が懐かしい…

追記：既出なのは理解してるよ　うん

　　　タイトル被ってるから変更しました(8/10)

Permalink | 記事への反応(2) | 17:03

ツイートシェア