アップル最新OSガイド iPhoneの「CarPlay」で車のナビや音楽を操作、エンジン始動に対応した車種も 2024.03.08
「Pac Secカンファレンス2008」のWebサイト。テューズ氏のプレゼンテーションは「Gone in 900 Seconds,Some Crypto Issues with WPA」と紹介されている 現在、多くの無線ネットワークで利用されているセキュリティ規格「WPA(Wi-Fi Protected Access)」で用いられている暗号鍵の一部を破る手法を発見したとするセキュリティ研究者が現れた。 【関連画像を含む詳細記事】 この攻撃手法は、現実のWi-Fi環境下でWPAの暗号化を破りうる初めての手法であると説明されている。詳細は、来週12日から東京で開催される「Pac Secカンファレンス2008」において研究者の1人であるErik Tews(エリック・テューズ)氏が解説する予定だ。 PacSecカンファレンスの主催者、Dragos Ruiu(ドラゴス・ルイウ)氏によると、テュ
経緯 楽天メルマガの個人情報89件、Webから閲覧可能に ユーザー自ら専用URL公開で - ITmedia NEWS 「楽天メールマガジン情報漏洩の話・さらに続き」- 水無月ばけらのえび日記 楽天のメルマガを一括配信停止するためのインターフェースとして、【楽天市場】楽天のメルマガというページがあります。ここに自分のメールアドレスを送ると、 [楽天ショップのメルマガ一覧 登録情報確認・変更・配信停止] https://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=****************** という形式で、セッションID付きの URL がメールで返ってくるそうです。 http://blog.spicebox.jp/labs/2008/09/post_97.html 調査した結果、弊社から『【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・
メルマガの配信申し込みサイトがクロールされており、Googleのキャッシュページに個人情報ページが残っていたということです。 ユーザがどうこうというのではなく、楽天側の責任が問われるべきなのは明白であると思います。 「楽天メールマガジン情報漏洩の話・続き」@水無月ばけらのえび日記 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す必要があります。それに気づかないと、「何度配信停止しても、買い物するたびにメールマガジンの送信が再開されてしまう」という現象が起きることになり、そうなっても簡単に配信を停止できるように、「配信停止画面をブックマークしておく」ということが行われていたと……。 ブラウザのブックマークではなく、ソーシャルブック
楽天のメルマガ登録用サイトで発生した情報流出事故をめぐり、楽天側が事故の原因などを発表した。原因は「メールで個別に連絡したURLをお客様がQ&Aサイトやブログに貼り付けたり、ソーシャルブックマークに登録したりする際、当該URLが検索サイトのクロール(巡回)対象になっていた」とした上で、責任の所在については「当該URLの想定を超えた使途によるもの」と主張。特に謝罪は行っておらず、「流出は利用者の自己責任」とも取れる説明になっている。 検索サイトの巡回対象にならないようにする 今回の事故は、個人情報を変更する手続きのための画面が、グーグルなどの検索エンジンで検索可能な状態になっていた、というもの。同画面では、もっとも多い場合で(1)氏名(2)生年月日(3)性別(4)自分が住んでいる都道府県(5)メールアドレスが表示されていた。 楽天側は2008年10月1日夕方、この事実をウェブサイトで発表。発
企業からの情報流出事故が相次ぐなか、楽天のメールマガジンの登録者情報が漏洩していたことがわかった。これまでの情報流出事故といえば、ウイルス感染やデータの盗難、USBメモリの紛失といった事例が一般的だった。ところが、今回は個人情報の登録を変更する途中の画面がグーグルなどの検索エンジンで検索できてしまうという、意外な経路で情報流出が起こっていた。登録した情報を変更したことがある利用者が、情報流出のリスクにさらされていた可能性が高いが、楽天側から具体的な説明はなされていない。 情報流出があったのは、同社が運営するメールマガジンの発行システム。メールマガジンを購読する際に入力した個人情報を変更する手続きのための画面が、グーグルなどの検索エンジンで検索可能な状態になっていた。このページには、登録されている個人情報(1)氏名(2)生年月日(3)性別(4)自分が住んでいる都道府県(5)メールアドレスが記
会員登録 楽天会員登録の仕方 ログインできない場合 会員登録情報の変更・削除の仕方 一覧を見る ポイント・クーポン ポイントを利用したい ポイントの獲得・付与について キャンペーンの特典ポイントについて ポイントギフトカードについて クーポンの使い方・獲得の仕方 一覧を見る 注文する お買い物前 商品の検索の仕方 お買い物の流れ・操作の仕方 お支払い方法について 配送・送料について 一覧を見る お買い物後 購入履歴について ショップとの連絡について キャンセル、返品、交換について 配送状況の確認の仕方 一覧を見る メルマガ 配信の申し込み・変更の仕方 配信の停止の仕方 バースデーメールの受け取り方 一覧を見る 楽天あんしんショッピングサービス 未着・遅延・欠陥品などの補償について ブランド模倣品の補償について 一覧を見る お困りの方へ 商品が届かない場合 商品が壊れている場合 クレジットカ
楽天は10月1日、楽天市場のメールマガジンユーザーの氏名など個人情報89件が、検索サイトからアクセスしたり、第三者が改ざんできる状態になっていたことを明らかにした。 同社によると、ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークやブログなどに掲載していたことが原因という。同社は検索サイトにキャッシュなどの削除依頼を行い、URLに第三者がアクセスしても個人情報が見られない仕様に変更するなど対策した。 89件の大半は氏名、メールアドレスのみだったが、ユーザーによっては、性別、生年月日、在住都道府県も分かるようになっていた。クレジットカード番号などは含まれていない。 9月26日にユーザーからの問い合わせで発覚。原因を調べた。ユーザーがメールマガジンの登録情報を変更する際、メールアドレスを指定すれば、登録情報変更用のユニークなURLがメールで送られてくる
更新: 2008年10月1日 セキュリティホールmemoより: site:emagazine.rakuten.co.jp で検索すると個人情報っぽいものが見えるとか見えないとか。 (www.st.ryukoku.ac.jp) メールマガジンの設定変更の画面が第三者に見えてしまう、という話のようで。まとめると、 設定変更画面のURLは、ユーザごとにユニークなIDを含むものになっているユニークIDは複雑で、他人の変更画面のURLは簡単には推測できない (……と思うのですが未確認)が、そのURLさえ分かってしまえば、GETリクエスト一発で認証もなしに変更画面にアクセスできてしまうアクセスすると、現在の設定情報 (氏名、メールアドレスなど) が見えてしまうそして何故か、そのURLをGoogleやWindows Live Searchがクロールしており、検索でヒットして残念なことに…………ということ
<< | 2008/10 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | >>
ラボ神部です。 今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。 そもそもの原因は そもそもの原因は、Google のロボットのように、メルマガの本来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delete_conf&k= の act= のあとがコマンド、k= のあとの部分がセッション ID になっているのは明らかです。楽天がどのようなプラットフォームの上で動いているのかわかりませんが、PHP なら php.ini で session.use_trans_sid オプションを ON にする
Webサイト上でユーザーのクリック操作が乗っ取られる「クリックジャッキング」という新たな脆弱性が報告された。主要なWebブラウザのほとんどが影響を受けるとされ、US-CERTが研究者の報告や報道を引用して注意を呼び掛けている。 【「乗っ取り」 最新記事一覧】 それによると、クリックジャッキング攻撃では、ユーザーがWebページ上でほとんど気付かないリンクやボタンなどをクリックさせられる恐れがある。つまり、ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。 この脆弱性は、Internet Explorer(IE)やFirefox、Safari、Operaなどの主要ブラウザとAdobe Flashに存在すると伝えられており、まだ修正パッチは準備されていない。 攻撃を防ぐためには、Webブラウ
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く