脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した
すでに報道のように、ビックカメラの通販サイト「ビックカメラ.com」において、会員IDをメールアドレスにするという改修がなされました。従来は会員がIDを自由につけられる仕様でした。さっそく会員登録してみたところ、会員IDのメールアドレスの入力間違いに際して、安全性の配慮に掛ける仕様だと感じたのでビックカメラのサポートに報告したところ、以下のように「セキュリティ上の問題とは認識していない」との回答でした。このため、ここに問題点と対策を公開して、利用者に注意喚起いたします。 平素はビックカメラ.comをご利用いただき、誠にありがとうございます。 サポートセンター担当のXXXXと申します。 この程はお問い合わせいただきありがとうございます。 貴重なご意見を賜りまして、誠にありがとうございます。 今回サイトのリニューアルに関して、基本的に現状ではセキュリティ上の問題があるとの認識はございません。
自動車のキーレスこじ開け強盗を「冷蔵庫」で防止できるかもしれない理由とは?
By Caitlin Regan ポケットから鍵を取り出すことなく自動車のドアロックを解除できる「キーレスエントリーシステム」は便利であると同時に、カギの偽造が難しいことからセキュリティ性が高いとされています。しかし近年、そんなセキュリティを回避してカギを開けてしまい、中においてあった金目のものを盗む犯罪が目立つようになってきています。その手口は多岐にわたり、これといった特効薬はないようですが、実は「カギを冷蔵庫に入れておく」という極めて単純な方法でキーレスエントリーシステムのセキュリティ性を上げる可能性があるようです。 Keeping Your Car Safe From Electronic Thieves - NYTimes.com http://mobile.nytimes.com/2015/04/16/style/keeping-your-car-safe-from-electr
AWS で不正アクセスされて凄い額の請求が来ていた件 - yoya's diary
情けない話ですが、自分の大チョンボで AWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的に AWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘) AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かる AWS さんのサポート AWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
2015年3月に発生したGithubへのDoS攻撃についてまとめてみた - piyolog
Githubが同社サービスに対してDoS攻撃が行われていることを発表しました。一連のDoS攻撃はGreatfire.orgに対して行われているものと考えられ、ここではGreatFire.orgに関係するDoS攻撃の情報をまとめます。 公式発表 GreatFire.org 2015年3月19日 We are under attack 2015年3月25日 (PDF) Using Baidu 百度 to steer millions of computers to launch denial of service attacks Github 公式Blog 2015年3月28日 Large Scale DDoS Attack on github.com · GitHub Github 公式Twitter The attack has ramped up again, and we're evo
Boothの同人音楽ネットイベント「Apollo」で人のアカウントに意図せずログインできて人のクレカで買い物までできてしまっていたらしい件まとめ(1)
問題の概要 Pixivの主催する同人誌委託・通販・DL販売サイト「Booth」 https://booth.pm/ で 2014年11月28~30日限定の同人音楽専門ネットイベント「Apollo」 https://booth.pm/apollo/ が 開催されているまさにその最中の29日18時頃、 「気付いたら自分のアカウントじゃないアカウントにログインできている」 「アカウント情報見たら他人のだった」 「カートに入れてたものが消えた」 「カートに入れた覚えのないCDが入ってる」 「買った覚えのないCDのカード決済通知が来た」 「アカウント見たら知らない人のカード情報が見れてしまった」 などの不具合がtwitterでつぶやかれるようになり、 その後すぐにBoothもApolloもメンテに入りました。 pixiv(Booth)の対応 pixiv(Booth)のその後の発表では、 Apollo
Masato Kinugawa Security Blog: accounts.google.comに存在したXSS
Googleの脆弱性報酬制度の報酬がアップされましたね! Google、脆弱性情報に支払う報奨金を大幅アップ - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1306/10/news027.html Googleアカウントページに存在するクロスサイトスクリプティング(XSS)の脆弱性情報については3133.7ドルから7500ドル accounts.google.comのXSSは$7,500 だそうです。みつけたいですね! みつけるのはかなり厳しいと思いますが、かつて2つみつけたことがあります。 今日はそのうち1つを紹介したいと思います。 oeパラメータを使ったXSS 2012年12月27日に報告し修正された問題です。 Googleは、一部のサービスで「oe」というクエリパラメータを付加することで、ページの表示に
【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯 - ITpro.NikkeiBP.co.jp
ベネッセコーポレーションの顧客データベースから漏えいしたことが確実な個人情報は、同社の顧客、あるいは過去に顧客だった世帯約760万件で、保護者および子供の名前(漢字とフリガナ)、住所、子供の生年月日、性別が含まれるという。過去に顧客でなかった世帯は含まれない。 1世帯を1件とカウントしているため、少なくとも保護者1人、子供1人が含まれるとして、1500万人~2000万人分の個人情報が漏えいした計算になる。漏えいした可能性のある件数まで含めると約2070万件にのぼり、4000万人~5000万人が対象になる計算だ。 ベネッセホールディングス(HD)の原田泳幸会長兼社長は、都内で開いた記者会見で「信頼回復の第一歩として、情報の拡散防止に全力を尽くす」と言明(写真)。全容が判明し次第、ベネッセHD副会長の福島保氏、取締役兼CIOの明田英治氏は責任をとって辞任する。 史上空前といえる個人情報漏えいは
2014-06-20
はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い 昨日6月19日(木)、はてなアカウントにおいて、ご登録ユーザーご本人以外の第三者による不正なログインが発生したことを確認しました。同日、疑わしいIPアドレスからのアクセスを遮断しました。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。 前回告知した不正ログインと同様に、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと考えています。 参考資料:「リスト型アカウントハッキングによる不正ログインへの対応方策について」(総務省) http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.h
14歳の少年、ごく簡単にATMのハッキングに成功
世界のATMはどうなってしまっとるんや! カナダはウィニペグに住む14歳の少年たちが、ATMのハッキングに成功しました。ものすごく簡単で基本的なやり方で、です。 彼らはMatthew HewlettくんとCaleb Turonくん。ネット上でモントリオール銀行のATMの説明書を見ただけでそれをハッキングしたとんでもない2人。いや、とんでもないのはATMの現状のほうでしょう。彼らが行ったのは、近所のスーパーに設置してあるATMを「通常モード」から「管理者モード」に変更するハッキング。その操作に必要だったのは、説明書に記載してあったデフォルトのパスワードを入力するだけでした。 銀行にとって幸運だったのは、この少年たちの目的はお金を奪うことではなかった点。なので彼らはすぐに近所にあるモントリオール銀行の支店に状況を連絡しました。2人が唯一やったイタズラと言えば、ATMに表示されている「Welco
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
Page not found
ブログ このブログは非公開に設定されています。 (Access forbidden) 他のブログを探す ブログランキング(共通のジャンル) 1 裏ピク 2 マブい女画像集 女優・モデル・アイドル 3 放送事故★お宝エロ画像村まとめ 4 エロ画像まとめ えっちなお姉さん。 5 AV女優2chまとめ ヘルプ インフォメーション リクエスト 利用規約 障害情報 FC2ブログについて FC2の豊富な機能 スマホからもブログ投稿 有料プラン アルバム機能 おすすめブログ テンプレート一覧 マガブロ マガブロとは? マガブロランキング マガブロの書き方 マガブロアフィリエイト サポート ヘルプ インフォメーション リクエスト 利用規約 障害情報 アプリでもブログ投稿 FC2トップ お問い合わせ 会社概要 プライバシーポリシー 著作権ガイドライン 広告掲載 Copyright(c)1999 FC2, I
【速報】2ちゃんねるで史上最大の流出!●ユーザ49000人の情報漏れ : IT速報
1: 以下、名無しにかわりましてVIPがお送りします 2013/08/26(月) 00:01:09.44 ID:ugpxo64U0 ●持ちの情報全て流出らしい しかも、その●で書き込んだ内容も流出 ●を買ったときの名前や住所、クレカ情報も流出 なんと過去10年以上の情報、全て コテ情報も流出 キャップ情報も流出 be情報も流出(らしい) ありとあらゆる情報が流出 なお、2ch運営は数日前から気付いてた模様 あまりにも危険な情報だから、 これ以上は自分達でググって調べて 洩れたデータを公開しているhttp://maru.unko.in/のようなサイトが複数作られています。洩れた対象の方は早めに対策を! 漏れたもの ・全てのトリップ/キー情報(運営用の物含む) ・●ユーザ全員の過去十年の書き込み履歴 ・●ユーザ(クレカ払い)は、書き込み内容に紐付けて、本名住所電番クレカ番号も全公開 流出した●
Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ
Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ2013.08.10 19:0010,286 satomi Chromeは初めて立ち上げると面白いことが起きます。 先日Ember.jpアプリ向けの開発でChromeを使った時のことです。閲覧はSafari常用ですが、Safariは一番ファイルをキャッシュして欲しくない時に限ってキャッシュする癖があるので、時たまChromeに切り替えるんです。 すると、Chromeにこんなのが出てきました。Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、と思って「Import bookmarks now(ブックマークを今すぐインポートする)」のリンクを押してみたら、こんな予想外のものが出てきたんです。 なぜ「保存済みパスワード」がグレイで、もうチェックしたことになってるんでしょうね?? チェック外せない
任天堂ホームページ:「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い
日頃は弊社商品をご愛顧賜りまして、誠にありがとうございます。 この度、弊社が運営する会員サイト「クラブニンテンドー」におきまして、他社サービスから流出したと思われるID・パスワードを使用し23,926件の不正なログインが行われたことが判明しました。 現在は、不正ログインが行われたID・パスワードを利用したログインができない措置をし、該当するお客様には弊社より個別に連絡のうえ、パスワード再設定のお願いをしております。 なお、詳細な経緯、被害状況等は次のとおりです。 1. 経緯および被害状況 7月2日夜、大量のアクセスエラーが発生しているのを確認し調査を開始しました。 不正ログインが確認された期間:6月9日から7月4日 不正ログイン件数:23,926件(試行回数:15,457,485回) 参照された可能性のあるお客様情報:氏名、住所、電話番号、メールアドレス ※個人情報等の改ざん、クラブニンテ
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
りそな銀行、関ジャニ大倉忠義さんの個人情報を漏洩させた件を大慌てでお詫び : 市況かぶ全力2階建
TechCrunch
いぬごやねっと
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
