「NauNau」230万人以上 位置情報など外部から閲覧可能な状態に | NHK
若い世代を中心に人気の位置情報共有アプリ「NauNau」で、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧できる状態になっていたことがわかりました。 会社側は事実を認め、アプリのサービス提供を21日から一時、停止するとともに、今後、第三者機関による調査を行う考えを示しました。 230万人分以上の位置情報やチャット履歴が 友人などの居場所をリアルタイムで共有し、チャット機能なども利用できる位置情報共有アプリ「NauNau」は、去年9月にサービスを開始し、開発した会社の「Suishow」によりますと、現在はダウンロード数が450万件を超える若い世代などに人気のアプリです。 しかし、複数の関係者によりますと、このアプリはサービス開始の時点からセキュリティー対策が不十分で、少なくとも230万人分以上のユーザーの位置情報やチャット上のやりとりの履歴などが一時、一定のI
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
当社元従業員による不正行為について | 株式会社ディー・エヌ・エー | DeNA
このたび、当社の元従業員が、当社関連会社の株式会社DeNA SOMPO Mobilityから受託しているカーシェアサービス「Anyca」のカスタマーサポート業務において、お客様の個人情報を不正に使用したことが判明いたしましたので、ご報告申し上げます。 当社においてこのような事態が発生したことは誠に遺憾であり、お客様と関係者の皆さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。現在、株式会社DeNA SOMPO Mobilityと連携し調査を進めるとともに、速やかに警察に届出を行っております。 今回の事態を厳粛に受け止め、今後はさらにコンプライアンスを徹底し、再発防止に努めてまいります。
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
note株式会社はまず、自らの不誠実な態度を「カイゼン」せよ(9/1記事の続報)
*これはあくまで私個人の考えであり、他に強制するものではありません。また、取引先等がnoteを利用することを否定したり、問題視するものではありません。 *この記事は、2020/09/01更新記事「なぜ私はnoteをやめたのか IPアドレス流出『3つの不誠実』」の続きです。 私は、上記記事にも書きましたが、今回のIPアドレスの件で、こういうトラブルが起きたときに、不誠実な態度を取る人は、まず人として信頼できないなーと思ったので、noteのサービス利用自体をやめることにしました。 noteにあった私の有料コンテンツは9月中にすべて引き揚げ、こちらのブログで読めるようになっています。(一部内容が古い有料noteは、削除しました。) noteにある無料コンテンツは、アーカイブとして残すことにし、その後アカウントは残しつつ、放置していました。その後は、noteからも何も説明がなかったので、「あ、この
Zoomを用いたオンライン講義を安全に進めるために | 情報基盤センター 2020.4.6
Zoomを用いたオンライン講義を安全に進めるために 情報基盤センター 2020.4.6 オンライン講義に用いることができるソフトウェアの一つであるZoomについて、セ キュリティ上の懸念がいくつか報道されております。 その内容は、 ・Zoomのソフトウェア等のセキュリティ上の問題点 ・Zoomの仕様によるもので、実際には問題にならないと考えられること、または運用上 の配慮で問題を回避できると考えられること に分かれます。このうち、前者については、Zoom側で対応が進んでおり、私どもが把握 している範囲ではすべて対処済みとなっています。 但し、ソフトウェアを最新版にアップ デートしておくことが重要です。 後者については、特に運用上の配慮が必要なのが、講義 中に第三者がミーティングに参加して音声や画像等で妨害する、いわゆるZoom bombing と呼ばれている事象です。本学のオンライン講
仰天の続編付き!! ピンチにさらに油を注いで大炎上の実例をAUからお届け
わたしはサラリーマンには向いていませんでしたが、新卒で入ったリクルートでひとつだけ座右の銘となる言葉をゲットしました。どの上司が言ったのかまでは覚えてません。すいません。 「ピンチの時こそチャンス」 深い。深すぎる。これが発展して「崖っぷち愛好会会長」となったわけでありますが、一般のサラリーマンの場合、ピンチはミスのことを指す場合が多い。このミスをいかに誠意を持って切り抜け、逆に信頼を得ることがプロの仕事。それほどミスは出したことは無いが、昔々、リクルート時代に正規輸入ディーラーの仕事を受注して数千万いただいたけど、車が全く売れなかった時があった。死ぬ気でリクルートで社内営業して15台くらい売って担当者のクビをつなぎました。Facebookで先日、このときに車を買ってくれた同僚から友達申請が来たときに思い出しました。汗かきました。 が。しかし・・・ このピンチの時の初動を誤ると顧客の激怒を
Home - Broadcom Community - Discussion Forums, Technical Docs, Ideas and Blogs
Broadcom Software Academy We are pleased to announce the launch of the redesigned and upgraded Broadcom Software Academy. Enterprise Software Industry analysts agree: a scalable, open and flexible digital business technology platform is mandatory for digital business success. Explore our capabilities NetOps Virtual Summit Discover how leading organizations are using DX NetOps and AppNeta to assure
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について(2) - 最速転職研究会
http://d.hatena.ne.jp/mala/20120220/1329751480 の続き。書くべきことは大体既に書いてあったので、補足だけ書く。 Googleは制裁金2250万ドルを支払うことでFTCと和解した http://jp.techcrunch.com/archives/20120809google-settles-with-ftc-agrees-to-pay-22-5m-penalty-for-bypassing-safari-privacy-settings/ まさか(まともに調査されれば)こんなことになるとは思わなかったので驚いた。異常な事態である。そしてGoogle側の主張を掲載しているメディアが殆ど無いのも異常な事態である。 2250万ドルもの制裁金(和解金)が課せられるのは、2009年に書かれたヘルプの記述が原因だという。 問題の記述 http://obam
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
高木浩光@自宅の日記:武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て
■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て 「日本ツイッター学会(自称)」会長兼「日本フェースブック学会(自称)」会長の、武雄市長(佐賀県武雄市)が、武雄市の市立図書館で、CCC(カルチャー・コンビニエンス・クラブ)と提携して、Tポイントカードを導入するとの構想を発表した。 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日 ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日 図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがあ
朝日新聞デジタル:東京メトロ駅員、パスモでストーカー 乗車履歴を投稿
東京メトロの30代の男性駅員が昨年、駅の業務用端末を使って、ストーカーの標的にしていた30代の女性の乗車履歴を引き出し、インターネット上に公開していたことがわかった。女性から被害の申告を受けた東京メトロは昨年3月、駅員を懲戒解雇した。 女性によると、駅員は2009年ごろから、帰宅時に女性の勤務先で待ち伏せるようになった。食事などにしつこく誘われ、夜道で尾行されたこともあった。 女性は、氏名や生年月日を登録する記名式のIC乗車券「PASMO(パスモ)」を使っていた。昨年2月、ネットの匿名掲示板「2ちゃんねる」で自分の乗車履歴に関する投稿を発見。自宅の最寄り駅など約1カ月間に利用した首都圏の9駅と乗降した日付、利用したバス会社名などが書き込まれていた。 うち1駅はラブホテル街に近いとして、男性と性的関係を持ったのではという事実無根の内容も書かれた。女性の名前はなかったが、事実上個人を特定できる
スマホアプリ 情報大量漏洩か NHKニュース
人気ゲームを動画で紹介するスマートフォンの複数のアプリが、利用者の電話帳に登録されていた名前やメールアドレス、電話番号などの個人情報を勝手に外部に送信していたことがセキュリティ会社の調査で分かりました。 このアプリは13日に削除されましたが、少なくとも6万人以上が利用していたとみられ、セキュリティ会社では、のべ数十万人から数百万人の個人情報が流出したおそれもあるとみています。 東京のセキュリティ会社「ネットエージェント」によりますと、問題のアプリはいずれもアンドロイドのスマートフォン向けに特定の作者が開発したもので、分かっているだけで16種類あります。 アプリの名前は、「連打の達人 the Movie」「桃太郎電鉄 the Movie」などまったく関係のない人気ゲームに「the Movie」などというタイトルをつけて、無料で配布されていました。 これらのアプリは、いずれもタイトルにある一般
なぜミログは解散に至ったのか、城口代表に聞く
2012年4月2日、ITベンチャーのミログが会社の清算、解散を発表した(関連記事)。スマートフォンアプリの利用履歴を収集する同社の事業に「プライバシー侵害ではないか」との批判が集中したのが一因だった。約4億円の資金を調達した気鋭のベンチャーがなぜ解散に至ったのか。創業者である城口洋平代表取締役に聞いた。 ミログは、ユーザーの同意を得てAndroidアプリの利用履歴を収集・解析し、統計データの販売やターゲティング広告に生かす事業を軸としていました。プライバシー情報を扱う企業として、社会的信用を重視していました。 ただ、2011年に公開したアプリに、ユーザーの同意を得る前にデータを収集、送信してしまうなどの致命的な瑕疵がありました。このため、ミログの社会的信用を失墜させてしまいました。 事業の核である社会的信用が大きく傷ついた以上、同じ領域での事業再開は難しい、と判断しました。また、この事業で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
ザッカーバーグの「5日間の沈黙」は、Facebookに取り返しのつかないダメージを与えた