「0.1秒」以内の複数ログインで他方の情報を表示、クラウド請求書INVOYで発生
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回取り上げるシステムトラブルは、FINUXのクラウド請求書サービスからの顧客情報流出と、ジュテックのランサムウエア被害、明和証券のメールサーバーへの不正アクセスである。 10月に指摘を受けたが不具合を再現できず OLTAは2023年11月7日、関連会社FINUXが運営しているクラウド請求書プラットフォーム「INVOY」において、利用者が他者の情報を閲覧できる事象が発生したと発表した。 11月9日までに発表した2度の続報によると、2人以上の利用者がほぼ同時にログインすると、一方に他方の情報が表示される可能性があったという。調査の結果、0.1秒以内のログインで発生すると推定された。 原因は、2023年8月7日に実施したアップデートで不具合を引き起こすコードが含まれていたから。
どんなに短い離席の時でもPCにロックをかける上司に「意識高いですね」と声をかけると、過去の恐怖体験を教えられた話
ぺんたぶ @pentabutabu どんなに短い離席のときにも必ずサッとWindowsキーとLを同時押ししてPCにロックを掛ける上司がいて、 僕「セキュリティ意識高いですね」 上司「前職でソリが合わなかった部下に、離席中の僕のPCから女子社員にセクハラまがいのメールを送られたことがあってね」 という鬼怖回答に背筋が凍っている。 2023-09-05 19:13:35 ぺんたぶ @pentabutabu エッセイや小説を書いたり、会社で働いたり、妻に恋に落ちたり、小学1年生のむすこのパパだったり。 既刊:いまどうしてる? 恋してます。/ 作家彼女。/ ハキダメ。他(いずれもKADOKAWA) 140字で書き切れないことはnoteに→note.com/pentabunote
ICクレジットカード取引におけるPINバイパス廃止に関するご案内|クレジットカードなら三菱UFJニコス
2023年4月28日 三菱UFJニコス株式会社 JCA(日本クレジット協会)にて公表されている「クレジットカード・セキュリティガイドライン(以下ガイドライン」)」に記載があるとおり、PINバイパス(暗証番号入力をスキップし、サインにて本人認証を行う取引)は2025年3月をもって原則廃止となります。弊社は安全なクレジットカード取引をご提供するため、ガイドラインに記載のとおり、既存のICクレジット決済端末を、2025年3月までにPINバイパスを許容しない設定へと順次変更を行っていく予定ですので、何卒ご理解賜りますようお願い申しあげます。 なお、レストランにおけるテーブル決済等、お客様にご移動いただく事が難しいお取引先様におかれましては、持ち運びが可能なモバイル端末への置換えをご案内いたしますので、弊社営業担当者、または下記の加盟店デスクへご連絡下さいますようお願いいたします。 電話でのお問い合
弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|ソースネクスト
2023年2月14日 お客様各位 ソースネクスト株式会社 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。 なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて
スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん
アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22
日本歯科大病院のサーバーがウイルス感染 電子カルテ使えず診療停止:朝日新聞デジタル
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
当社より流出した過去の情報について(2022年1月14日)| 株式会社ラック
当社より流出した過去の情報について 2022年1月14日 | プレス 株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、2021年11月2日、フリーマーケットで販売されていたハードディスクに当社内のビジネス文書が含まれていたことを、社外からの通報により確認いたしました。その後の通報者とのやり取りの結果、12月17日にハードディスクを回収し、流出経路、流出情報の調査並びに情報の拡散が無いことの確認が完了しましたのでお知らせいたします。 なお、この件につきまして、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしますことを、深くお詫び申しあげます。 1.情報流出の経緯と概要について 2021年10月31日、フリーマーケットで購入したハードディスクに、当社のビジネス文書が入っていたという匿名の通報があり、その根拠として提供された一部のビジネス文書のスクリーンキ
エストニアで発生した顔写真データの違法ダウンロードについてまとめてみた - piyolog
2021年7月28日、エストニア国家情報システム庁(RIA)、警察・国境警備局は国が運営するシステムから顔写真データの違法なダウンロードが行われたことを公表しました。警察は既に容疑者を摘発しており既に刑事手続きに入っていることも併せて公表されています。ここでは関連する情報をまとめます。 顔写真流出による発行済みIDへの影響無し 容疑者によってダウンロードされた顔写真は286,438枚で、エストニア全国民の約21%(2021年時点で約133万人)にあたる。但し、今回の顔写真流出を受けてIDカード、モバイルID、スマートIDへの影響はないとされており、発行済みの身分証明書、顔写真は引き続き有効とされた。これは顔写真や個人識別コードだけでeサービスへのアクセスやデジタル署名の付与、銀行口座などの金融取引を実行することはできないためとされる。 影響を受けた約29万人へは国が運営するポータルサイト(
CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ?
質問をすることでしか得られない、回答やアドバイスがある。15分調べてもわからないことは、質問しよう!新規登録して質問してみよう
GitHubは禁止するべき? ソースコード流出事件から考える情報資産の守り方
TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワードが話題になりました。 そもそもGitHubってなによ? って方はこちらの四コマが分かりやすいです。 これだけ聞くと相当問題のようにも聞こえますが、別にGitHubの脆弱性を突かれたたとかではなく派遣業者の社給PCないしはそこを経由した私物のPCからGitHubにPushされたという良くある情報流出ですね。なお、幸いにも重要なコードは含まれていなかったようです。 幸か不幸かこのエンジニアがGitHubに不慣れだったので非公開ではなく公開設定にしていたため、SN
GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」
三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま
OAuth2の次に来ると言われる認可プロトコルGNAPとはなにか | メルカリエンジニアリング
Merpay Advant Calendar 2020、23日目の記事は、趣味で認証認可をやっている @nerocrux が送りいたします。 最近 GNAP という認可プロトコルのワーキンググループドラフトが出ていて頑張って細かく読みましたので、(次回はいい加減に仕事でやってることについてお話しますが)今回はその GNAP について紹介させてください。 GNAP とはなにか? GNAP は Grant Negotiation and Authorization Protocol の略で、認可のプロトコルです。Justin Richerさんという方を中心に策定しています。作者によると、GNAP の発音は げなっぷ になります。 認可(Authorization)プロトコルと言えば、OAuth 2.0 (RFC6749) が広く知られ、運用されています。GNAP は OAuth 2 の後継とし
パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を
パソコンのクロームのアドレスバーが勝手にYahooに切り替わります。 - Google Chrome コミュニティ
メイン コンテンツにスキップ false 検索検索をクリア検索を終了Google アプリメインメニュー
米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
焼肉サブスクの脆弱性 - Qiita
※規約違反として限定公開にされました。Qiita運営からのメールに「Qiitaだけじゃなくて他サービスの規約違反もあかんのやで」という文言があったので、そのへんに気をつけて修正しました。 本記事はすべてフィクションです。実在する企業とは一切関係ありません 焼肉サブスクに22日通った。 その中で、色々な脆弱性が見受けられたため、詳しく書く。 ※この記事で紹介する脆弱性を実際に突いてサービスを不正利用すると、詐欺罪に問われる可能性があるので、絶対にやらないこと。また、この記事は啓蒙を目的としており、システムの悪用を推奨していない。 焼肉サブスクのシステム サブスクプラットフォームに登録し、クレカでサブスクパスに課金する。 店でパスの画面を見せる。画面には1日1回だけ押せるボタンがあり、ボタンを店員の目の前で押すことで、サービス権を行使する。食べ放題が無料になる 最後にレジで会計するが、食べ放題
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Hiromitsu Takagi on Twitter: "今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民… https://t.co/OcBNsvOHAN"
日米、機密共有で中国包囲 米知日派が協力促す報告書 - 日本経済新聞
「ドコモ口座」使った不正利用、東邦銀でも 七十七、中国銀に続き - 日本経済新聞
