PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて

08/08 23:44 pixivでのパスロックの実装を確認しました http://twitpic.com/62zetv ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール http://twitpic.com/63a2uh pixivのadminツールについて 続きを読む
191
サさん @sayamm17

*とぎゃ見る時間ない人用のまとめ* ピクシブ問題の流れ:ログイン用ID各個人のイラストページで丸出しになってる事が判明⇒パスロック制限が無い事が判明(何度ログイン失敗してもログインを止められる事がない)⇒阿鼻叫喚⇒プレ垢クレカ情報を消しに走る⇒消せず⇒騒ぎが大きくなる

2011-08-09 10:26:17
サさん @sayamm17

続き:pixiv自体の管理者ログインページがなぜかwwwに(通常ハッキング防止に社内のみのアクセスしか受付けないようイントラネットにあるはず)⇒更に炎上⇒マシン状態を表示する文言がなぜかデフォの「It works!」ではなく「It workssl!」になっている(8/4取得情報)

2011-08-09 10:31:41
サさん @sayamm17

続き:説明の無いままパスロック実装・管理者ログインページがイントラへ。⇒公式発表が無い為、クラッカーによる変更なのかpixiv内の人の変更なのかわからない←イマココ!

2011-08-09 10:35:41
まとめ pixivのadminツールについて 要望がありましたので、PixivのシステムによるユーザID漏洩とパスロックの未実装とadminツールについて http://togetter.com/li/171884 からpixivのadminツールに関するツイートのみで構成します ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール http://twitpic.com/63a2uh 関連まとめ ・Pixivのセキュリティ騒動についての解説+おまけ http://togetter.com/li/172303 27291 pv 94 18 users 2
しまはるき @shimaharuki

pixiv上の作品を画像をクリックして開きソース表示すると <img src="http://img02.pixiv.net/img/●●/[作品No].jpg" border="0"> の●●に投稿者のIDが表示されるみたいなんですが…

2011-08-08 07:20:43
ぽよおじさん @poyonmax

@shimaharuki ピクシブまたやったの… [誕生日だよ]

2011-08-08 07:21:56
しまはるき @shimaharuki

@poyonmax またやったというか今までの仕様だとずっとこうだったらしいの 知らなかったよ

2011-08-08 07:22:49
しまはるき @shimaharuki

先ほどのIDというのはアカウント名ではなくてログインIDなので 居ないとは思うけど個人情報に関わる本名などをログイン時のIDにしてアカウント作っちゃっててる人は特に注意して下さい

2011-08-08 07:27:42
@q4500

pixivの画像ページソースでIDの確認が出来るな。パスワードのロックもねぇ。馬鹿じゃねぇのこの運営。

2011-08-08 07:42:58
@q4500

画像ページ内、ピクシブブログなどでログイン用IDが丸見え 過去運営に問い合わせた人も居るけど、対応どころか返信も無し ログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題 あなたのアカウントは大丈夫? #pixiv

2011-08-08 07:46:15
しまはるき @shimaharuki

今思ったが ログインID丸見えで後はPWをブルートフォースアタックなり何なりで割り出されるとアカウントハックされちゃうんだけど 作品は消したもののプロフィールも弄れるんだな…だとすると年齢やら何やら正直に入れちゃってる人はまた漏れる危険が

2011-08-08 07:46:52
@q4500

pixiv、過去にアカウントハックやらかしてんのか。 pixivでアカウントハック横行 乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント http://t.co/C16o2gA

2011-08-08 07:47:39
しまはるき @shimaharuki

なおpixivにはブルートフォースアタックを抑制するような 複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです

2011-08-08 07:50:42
@q4500

ドンドン拡散してね! 画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫? #pixiv

2011-08-08 07:54:33
@q4500

今GPGPUでパス解析できるらしいな。pixivやばくねぇの?

2011-08-08 07:56:10
kanidon @kanidon

@q4500 垢ハックとかid丸見えとかかーなり初期から色んな問題点山盛りで散々叩かれてた記憶がありましたが、結局なにも改善してないとかそういうの多すぎですよねpixiv

2011-08-08 07:56:45
龍々華 @ChieTheEroglass

pixivに投稿された画像からユーザIDがわかります またpixivはパスロック等の処置がないため力技でパスワードがハックされる可能性があります pixivのユーザIDに本名等を使用されている方は特にご注意ください まぁ以前から知られていたことだけど #pixiv

2011-08-08 07:57:03
@q4500

通常3回でパスロックされるのが個人情報を尊重するサイト。あれー?おかしいねぇー。絵師の個人情報大事にしているpixivサンはなんでロックしないのー?

2011-08-08 08:00:09
kanidon @kanidon

@q4500 ユルめの場所でも5回も失敗したら一時ロック掛かる所が殆どですよねぇー(パス変更したの忘れててロック掛かりつつ)

2011-08-08 08:05:01
しまはるき @shimaharuki

[まとめ]Pixiv内作品ページの画像ソースにログインIDが記されており 後はパスワードを割り出されるとアカウントを乗っ取られます ログインID及びアカウントの非公開プロフに個人情報入れてる人は注意して下さい またパスワード総当たり攻撃への対策はされてないっぽいです

2011-08-08 08:10:04
沖田 丈9(タジョウ) @vjoe

別に俺が第一発見者じゃないんだろうけど、他人のアカウントが丸見えってのは、確かかなり初期のpixivスレで俺が指摘してたと思う。別に第一発見者じゃないけど(2回言った)

2011-08-08 08:11:42
しまはるき @shimaharuki

@vjoe その後も色んな人が指摘し続けたけど放置されてたようで

2011-08-08 08:14:59
@q4500

あーあ、ハッカーが気付いたらどうすんだー(棒。パスロックないいんじゃーぶるーとふぉーすされちゃうぞおー。#pixiv

2011-08-08 08:23:49
高橋 けんじ @KENXY

セキュリティに問題があって、個人の信用失墜に利用できる可能性は、これもかなり初期にmixiの日記内で書いてます。まだそのままだったんだ…。多分、他の悪用できると気づいた仕様も残ってるな…。 うっうー!ζ(´▽`)ζ

2011-08-08 08:28:31
@q4500

@KENXY パスロックないんでその手の技術を持った悪意あるユーザーから見たらpixivはいい遊び場でしょうね。最近はPCも高速ですからねぇ。総当りでそんなに時間かからないかもしれないですね。

2011-08-08 08:32:07
1 ・・ 13 次へ