【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】｜ゆき

①個人情報流出にZIGより早く気付いた経緯 6/10 mechuの話をリスナー友達と共にdiscordにて会話中の出来事 メンテナンス後にrevちゃんのルームが消えていることに気付く。 外部VTuberの参加予定があったもののトラブルが発生し遅れているアナウンスもあった事で面白半分にソースを見てみようという流れになる。 ソースの見方についてですがブラウザ上で右クリックするとページのソースを表示と出てくるのでそれをクリックするだけというごく簡単なものです。 通話メンバーの一人がVTuberのメールアドレスが表示されていることに気付き、さらにpasswordの記載を見つける。 まずいのではと感じたので運営に報告するために他のページのソースも調査する。 管理者用ページがあるはずだという見立てよりURLにadminを追加したところ管理者用ログインページを偶然発見。 管理者用ログインページのソースを

[takeg]

いい加減base64エンコードを暗号化というのをやめてほしい

[masahiko_of_joytoy]

base64は当たり前にマズイんだけど、それより管理者画面のソースにユーザーログイン情報がリストアップされるってどういうこと？普通にログイン画面作ってもそんな実装にならないでしょ？？

[mather314]

ZIGに掲載されているニュースリリースを見たけど、「復号が容易な脆弱性」ではなくて「そもそも暗号化されていない」という認識が無いのもまずい。

[theatrical]

Base 64で暗号化と言うのは、「日本人しか見ないから、英語で書いたぜ！これで読めないから完璧だ！」くらいの話である

[wordi]

喉から出かかった突っ込みたち「なんでソースコードにユーザー情報埋め込まれてるん」「base64が暗号化ってなんだ」「そもそもなんでパスワードが可逆やねん」、実際に出た突っ込み「にゃーん」

[megazalrock]

base64でパスワードを変換して保存するって逆に発想がすごいな。実装者が自分で思いついたんだろうか。

[HolyGrail]

うわぁ…

[k3akinori]

調べた内容は、IPAに報告しといたほうがいいと思う。

[ytRino]

えっパスワードをBase64で"暗号化"してたってこと? yabai

[rryu]

BASE64を暗号化と言う以前に全ユーザーのID/PASSがHTMLに書いてあるというのが既にダメすぎるのだが、JSのなんちゃって認証を実装していたということなのだろうか。

[kamigata0]

{Base64]Basic認証レベル（というかHTMLのソースコードの中書きなので、もっとひどい）か。 #Security #個人情報 #Vtuber #Zig #隠蔽 #base64

[s-tomo]

id:onesplat そう思いかけたけど、スクショのパスワード欄が空だからMIME規格まんまのテーブルつまりただのbase64 encodeだコレ...

[side_tana]

お粗末，対応も悪いですね...

[sho]

securityタグを付けるかどうか躊躇するレベル https://drive.google.com/file/d/1HWyznvsIJTchPsT1a-IQX7e5LdVpJH0l/edit

[ys0000]

Base64は確かにエンコードだけども、セキュリティは何一つ担保されない単純な符号処理なので、ノンセキュアな暗号化手法とかで記載した方がいいのかしら。

[hinaloe]

暗号化(大嘘)…というか今もそのままってこと…？

[showii]

もうちょっとオジサンにもわかるようにお願いします。

[koyhoge]

令和になっても雑なパスワード暗号化実装は続くよw

[ya--mada]

よくある話である。まとめ書くのエライ！！

[t-cyrill]

2019年とは思えない

[sarukichi7]

CTFかな？と思ってしまった

[sin20xx]

ちなみに、普通の法務関係者や経営者は理解しているが免責条項というものは「うちはセコムはいっとるで？」と宣言している程度のもので、実際に被害にあうかあわないか、つまり免責できるかとは実務的には関係ない。

[miquniqu]

大量の個人情報を知るリスク考えたら積極的に不可逆にしそうなもんだけど。

[JULY]

Base64 でエンコードしたものなら、数分もかからないし、数秒もかからない。計算時間だけで言えば msec 単位。ほんとに単純な Base64 エンコードだった？

[rti7743]

base64は暗号化じゃない。パスワードはハッシュ化する。忘れた人にはメール経由で本人確認して上書きで対処する。サポート用に、保護された管理ページからは、なりすましログインがあるといいねぐらいかな。

[monorod]

さすがにbase64を暗号化と言う世界線があるとは思わんかった。

[naglfar]

ブックマークはしておく。

[hara_boon]

これもっと大事になってもよいのでは。／やっぱbase64かよそれは暗号化ではない…

[coolworld]

本筋とは関係ないんだけど、復号「化」が気になってしまう…

[legnum]

このレベルでよく個人情報扱えるな…

[onesplat]

base64そのものじゃなくてkeyで64字の変換テーブルを生成するような実装だったってことだろ。それでもテーブルが固定なら十分脆弱だけど

[pullphone]

まさかとは思うけどサーバーサイドで全ユーザーのリストをレンダリングしてフロントエンドで認証してたんか…？

[KAN3]

サイト下部にある「よくある質問」「プライバシーポリシー」とかのリンク先がGoogleドライブのPDFになっていて、なかなか斬新なサイトだと思った。

[gyampy]

偶然とは言え、よく調べたなぁ。すごい

[raamen07]

何も考えずにRailsでdevise使おうぜ

[kizimuna06]

せめてハッシュ化…。