Togetter - 「楽天である条件の下だと別のユーザーでログインできてしまう件＋α in Twitter」

お気に入り

楽天である条件の下だと別のユーザーでログインできてしまう件＋α in Twitter

security rakuten セキュリティ楽天【編集】

http://d.hatena.ne.jp/BEW/20100115
http://d.hatena.ne.jp/BEW/20100121/1264078657
上記URLで報告した楽天の不具合について、一連の流れをまとめたリスト

_BEW 5 fav 3520 view 1/20 22:30
twitter livedoor delicious hatena

お気に入りしたユーザ

まとめられたつぶやき

返信する RTするふぁぼる

ぬあああああっ　はてなでguldeen氏のアカウントが乗っ取られた時に続いて、今度は楽天で変な現象に遭遇してるぞ。気づいたら他人の家の中に入ってる状態かもしれん。楽天のコミュニティは知らないがスクショとってとりあえず運営に通報だなこれは…

_BEW
2010-01-12 16:13:21
返信する RTするふぁぼる

楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyか何かください

_BEW
2010-01-12 16:16:17
返信する RTするふぁぼる

みつからない… 自分の所のシステムに不具合が出るって想定してないのか。これ以上時間を割く義理はないぞ。RT _BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyください

_BEW
2010-01-12 16:21:12
返信する RTするふぁぼる

「よくある質問」とか「総合案内所」とかそんなチャチなもんじゃ断じてねえ。不具合の報告ができねえ片鱗を味わってるぜ…　どうしようもないし、再現性があるかだけ確認するか。

_BEW
2010-01-12 16:25:48
返信する RTするふぁぼる

うわあああああ　再現性ありまくりだ。株式会社の件以外に他の人でログインできた。これはRTしてほしい。これで俺がひとつでもこの人たちの情報にアクセスすると「アメーバ」の時みたいに脆弱性を利用した犯罪者になるわけだ。

_BEW
2010-01-12 16:30:21
返信する RTするふぁぼる

楽天が被害者ヅラするパターンだと俺が犯罪者なわけだけど、俺はいままでのこういう事件の経緯知ってるからやらないよ。不具合の報告する窓口が簡単にみつからないのが腹立つ。はてなと違って勝手も違うしあまり使ってないからわからない。

_BEW
2010-01-12 16:32:48
返信する RTするふぁぼる

はてなのguldeen氏などがアカウントハックされた事件では、はてなモバイルのdocomo版にログイン時に脆弱性があったんだっけ？おそらく俺がいる場所も似たような所でここからイタズラするとあっさり犯罪者になる。あたりまえだけどね

_BEW
2010-01-12 16:40:52
返信する RTするふぁぼる

とりあえず、窓口情報が無いのでWhoisにある連絡先に送るのが良いかも。http://bit.ly/6QGQbe RT @_BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらRe…

IZUMI162i6
2010-01-12 17:07:24
返信する RTするふぁぼる

確かにこーゆー時用の窓口が見当たらないなー。 RT @_BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyか何かください

yamawaki64
2010-01-12 17:22:29
返信する RTするふぁぼる

しまったな。RTの意図というともう連絡先もわかっていらないわけだから、これだと単になんだかわからない楽天へのマイナスイメージだけが伝わることにならないだろうか。とにかく読んでる方いましたら、もう開発本部システム構築・運用部の部門長に伝えられたのでRTは結構です。

_BEW
2010-01-12 17:23:18
返信する RTするふぁぼる

ただ楽天の不具合報告窓口がはてなやGoogleなどに比べて全くもってみつからないという問題だけは明らかで、その点が広まるのは有意義か。脆弱性探しなんてことになるのはいただけない。２ちゃんねるだと完全に祭りみたいなのになる。他の環境からも再現性があるなら最初が俺で良かったのかも

_BEW
2010-01-12 17:26:14
返信する RTするふぁぼる

連絡できたのですね。よかったよかった。 RT @_BEW: しまったな。RTの意図というともう連絡先もわかっていらないわけだから、･･･（中略）･･･。とにかく読んでる方いましたら、もう開発本部システム構築・運用部の部門長に伝えられたのでRTは結構です。

yamawaki64
2010-01-12 17:28:00
返信する RTするふぁぼる

@yamawaki64 ご協力ありがとうございました！

_BEW
2010-01-12 18:27:46
返信する RTするふぁぼる

@_BEW 直結のとこに連絡できてよかったよかった。大事にならないといいですね。

yamawaki64
2010-01-12 18:30:02
返信する RTするふぁぼる

帰宅。楽天の件ですが、家に帰って試してみたら再現性が無くなっていたので特定の時間なんらかの理由でああなっていたのかも。ちなみに担当者には伝わったと連絡をもらいました。

_BEW
2010-01-12 23:23:27
返信する RTするふぁぼる

楽天に対応していただきたいポイントは僕としてはまず不具合報告をもう少し明確にしてほしいというのと、誤魔化さないでほしいってことかな。僕がアクセスできたっぽい情報はアフィリエイトや個人商店やってる人には致命傷だと思われるので

_BEW
2010-01-12 23:32:44
返信する RTするふぁぼる

おろろ？　再現性あった？！　また違う人の名前でログインできちゃったよ。楽天いったいどうなってんの？

_BEW
2010-01-12 23:35:03
返信する RTするふぁぼる

この楽天の脆弱性の問題はエントリーにあげて話題にした方がいいのか迷う。連絡が伝わってから５時間が経過して変わっていないのは事実なわけで俺の個人情報も脅威にさらされているかもしれない一方、話題になるとネットの悪意が集中するわけでおそらく教えなくても見つけてしまうだろうから

_BEW
2010-01-12 23:42:58
返信する RTするふぁぼる

ログアウトしてもできなかったり完全に壊れてるなこれ。俺は専門家じゃないから技術的にどうイカレてるのか全然わからない。怪しい人には教えられませんけど、注目しているWEBセキュリティが分かる方いらっしゃったらReplyください。

_BEW
2010-01-12 23:53:40
返信する RTするふぁぼる

再現性の条件確認してたら完全にバグッてしまった。自分のIDでログインできない。

_BEW
2010-01-12 23:58:11
返信する RTするふぁぼる

丸１日経ってもガンガン別ユーザーでログインできちゃう楽天の不具合。コワス

_BEW
2010-01-13 23:07:57
返信する RTするふぁぼる

楽天サポートから僕が以前から書いていた不具合について連絡が来たけど、２日経っていってきたことは僕の個人情報を入力しろとのフォームだった。これはもう駄目だと思ったので無視して脆弱性の場所を指摘した記事を書くなり別の手段を取ることにします。

_BEW
2010-01-14 20:42:05
返信する RTするふぁぼる

WEBサービスの脆弱性を発見したとして、それをサポートに伝えるには当人の個人情報が必要なのだろうか？またそれを拒否するが、持続中の問題に対策をしてもらうためにそれを公に知らせてしまうのは問題を引き起こす可能性が高いが、丸２日待ってこの対応だから仕方ないと俺は判断しようと思う

_BEW
2010-01-14 20:49:39
返信する RTするふぁぼる

あれ？いま気づいたけど２日前からやってる楽天の件、誤ログイン以外にさらにおかしなことがあるぞ。俺が問い合わせたアドレスと違う、楽天に登録したアドレスにサポートから返信してやがる。つまり向こうは「こいつだな」と当たりを付けてメールしてきたってことか。これは釣られた。個人情報抜かれた

_BEW
2010-01-14 22:27:58
返信する RTするふぁぼる

うーーん、やるなー　楽天サポート！しらばっくれるって方法もあるけど、仕方ないからこっちも別の角度からいこう。誰もが誤ログインするわけじゃないみたいだけどバラしちゃうことにするよ。なんでセキュリティの対応をせずに「俺」を特定する方を優先したんだろう。俺を犯罪者にしたいのか？

_BEW
2010-01-14 22:35:15
返信する RTするふぁぼる

楽天の件、記事書きました＞＞＞楽天である条件の下だと別のユーザーでログインできてしまう件＋α - WEBを逆から読みました http://d.hatena.ne.jp/BEW/20100115

_BEW
2010-01-15 08:53:58
返信する RTするふぁぼる

影響力がないために全然問題化しなくて虚しい限りだけど例の楽天のログインしたら他人の名前で入れちゃう不具合は継続中。

_BEW
2010-01-19 11:19:14
返信する RTするふぁぼる

いやいや。影響力の問題だけじゃないな。戦略とかもだらしないからいけないんだろうな。例えば２ちゃんねるにログイン方を明記してJ-CAST・ガジェット送りにすれば１日で対応してもらえるだろう。

_BEW
2010-01-19 11:21:33
返信する RTするふぁぼる

おおっと、とうとう楽天の不具合報告の記事が楽天本社のPCから読まれたな。これでまた頓珍漢なメールが来たら笑う。Twitterもチェックされてるだろうな。というか１週間も時間あったんだから俺を無視して揉み消し路線でもいいからセキュリティ対策しろよ。なぜそれもやらないｗｗ

_BEW
2010-01-20 12:36:43
返信する RTするふぁぼる

楽天から大量のアクセスが例の記事に来ており、中にはバグフィックスや何とか会議といった場所からのアクセスも確認できているが、いま試したら早速別ユーザーの名前が表示されました。俺自身の被害が少ないからこの程度しか行動しないけどもっと他の楽天ユーザーは怒って良いと思うんだ

_BEW
2010-01-20 21:51:33
返信する RTするふぁぼる

極端にいってしまうと楽天ユーザーの個人情報は長らく流出状態にあり、実名と思われるどういったユーザーが「何を買おうとしているのか・何を気に入ってるのか」把握できた。楽天がしらばっくれないためにだけスクリーンショットを取ってあるがこれは末恐ろしい事。

_BEW
2010-01-20 21:57:26
返信する RTするふぁぼる

楽天がまさに今その状態っていう… http://d.hatena.ne.jp/BEW/20100115 RT @kuronekou アマゾンで「チェックした商品の履歴」とか見られても大変困る。 QT @ui_nyan: これは”婚活”… http://bit.ly/5nGJLX

_BEW
2010-01-21 16:18:42
返信する RTするふぁぼる

ぼくとらくてんの七日間戦争！的にＴｗｉｔｔｅｒの発言をまとめてみた。 http://togetter.com/li/3629 このtogetterってサービスがすごく便利でびっくりした。インターフェイスも練られてスマート。知らない方は自分の好きだったＴＬの記憶に使ってみては？

_BEW
2010-01-21 17:16:08
返信する RTするふぁぼる

楽天の自分の登録情報を変更しようと思ってアクセスしようとしても毎回毎回違うユーザー名が出てくるから不正アクセスが怖くて何もできない。なにこれ？楽天が俺に仕掛けてる「転び公妨」って認識でよろしいか？１ミリでも動いたら逮捕っていう…

_BEW
2010-01-21 18:58:33
返信する RTするふぁぼる

楽天の不具合について記事書きました。RT歓迎です＞＞全楽天ユーザーが緊急に登録情報の実名をハンドルネームにすべきたった１つの理由 - WEBを逆から読みました http://d.hatena.ne.jp/BEW/20100121/1264078657

_BEW
2010-01-21 21:59:25
返信する RTするふぁぼる

ネットニュース系企業も楽天の不具合には注目してるんだな～。しかし俺が顕名であることと多くの人数が楽天の不具合を共有していない事からスクリーンショットだけでは報道するのは危ないと感じているのかもしれない。

_BEW
2010-01-22 00:12:37
返信する RTするふぁぼる

ネットという大きな泉に自分が持てる適切な大きさの石を持って投げてやる。良い場所に落ちると泉に満遍なく波紋が広がっていく。ブログは石でTwitterは泉の真ん中。楽天の件の反応をまとめてみてそんなことをイメージした。 http://togetter.com/li/3755

_BEW
2010-01-22 17:00:53
返信する RTするふぁぼる

楽天不具合の記事は１日１万アクセスぐらい稼ぐことになりそう。タイトルがいやらしいって言われたけどアフィリエイトも功名心も無くて単に話題にして早く対応させたい目的なのにな。現に直球で何の演出もしなかった同内容の前記事は１週間放置された訳で、それを反省できないのは馬鹿でしょ？

_BEW
2010-01-22 23:34:46
返信する RTするふぁぼる

@_BEW 同じPCじゃなくて違うネットワーク(ISP)に接続された違うPCでも再現するんですか? HTTPSのページでも正規の証明書で?

bombarous
2010-01-23 09:44:08
返信する RTするふぁぼる

興味深く見ています。はまちちゃんに相談してみては？ RT @_BEW: すごいアクセス数になってる。＞全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった１つの理由 - WEBを逆から読みました http://goo.gl/Oj0F

Abiru
2010-01-23 15:27:49
返信する RTするふぁぼる

. @Abiru @bombarous まだプロクシーサーバーうんぬんについて若干の不安があるので「他のISPから再現できるか」がクリアされたら、新たに動こうと思います。ただ３０人を超える外国人や株式会社まで含めた別々の人にアクセスできるのは既に最悪の事態じゃないかと思います。

_BEW
2010-01-23 15:39:50
返信する RTするふぁぼる

@_BEW セキュリティに詳しくない女性二人から、過去に自分じゃない名前と覚えのない商品が出てきた事があるという証言を得てました。

Abiru
2010-01-23 15:49:35
返信する RTするふぁぼる

楽天の不具合の件なはあれだけ話題になったからある程度はきちんと調べないとなと思ってネットカフェに来てやってるんだけどさらに想像を飛び越えたカオスな不具合に遭遇して戸惑ってる。自分のアカウント名だったはずなのに他人の買い物カゴの中に直通。女性の名前でカゴに入る３つのアイテム…

_BEW
2010-01-24 01:22:40
返信する RTするふぁぼる

@bombarous ChromeとSleipnirを使ってます

_BEW
2010-01-24 01:40:03
返信する RTするふぁぼる

ネカフェまで来て結局おなじく再現性があるだけで終わった俺カワイソス。サッカーみに帰るか～

_BEW
2010-01-24 02:07:42
返信する RTするふぁぼる

楽天にアクセスしたら相変わらずでワロタｗｗ　今度は髪の毛と素肌のケアに余念のない○○○○○○○○Gさん　「（本人でない場合はログアウトしてください）」って文章は楽天の場合だとガチ性善説ってことか。楽天会員は日本人なのに神経の図太い人揃いだな

_BEW
2010-01-24 19:28:51
返信する RTするふぁぼる

ぼくと楽天の７日間戦争、更新・・・ http://togetter.com/li/3755 って実際は１２日経ってるけど、僕が最初の記事を単に書いて無視されてから累計２万弱のアクセスを集めるところまでの流れは楽天関係無しにTwitterの読み物としておもしろい感じに仕上がっている

_BEW
2010-01-24 23:41:55
返信する RTするふぁぼる

楽天不具合記事の影響というか記事がきっかけで広まる不信感。確かに一発で致命傷になる銀行口座・クレジットカードには敏感になりすぎても損はしないと思う＞＞イーバンクは危険？楽天の低いセキュリテイが影響する可能性を考える http://bit.ly/7NnpaG

_BEW
2010-01-25 01:06:57

チェックアイテム

お勧めアイテムやネタ商品を追加してまとめをもっと面白くしよう！今すぐ追加？

編集の履歴

2010-01-25 03:16:24		_BEW さんが更新しました。
2010-01-24 23:36:18		_BEW さんが更新しました。
2010-01-22 22:37:16		_BEW さんが更新しました。
2010-01-22 03:20:39		_BEW さんが更新しました。
2010-01-21 22:02:44		_BEW さんが更新しました。

ブログパーツ

幅・高さの指定を変えることでサイズを変更できます。
またsrcの中の「bc=***」で背景色を変更できます。

プロフィール

_BEW

twitter rss

その他のまとめ

	(´-ω-`)ツイッター初心者・悪鬼さんのほのぼのツイッターデビュー(´-ω-`)
	なるほど四時じゃねーの“ふぁぼらせ騒動”から作者・有名人の発言中心にツイッターセキュリティ問題を考える
	切込隊長と地下猫氏、育児放棄の事件についての深夜のやりとり
	猪瀬直樹氏のWebの匿名性に対する考え方
	佐藤亜紀氏のほしぞらのふるころ氏との夫婦別姓についてのやりとりから起こった一連の波紋

カスタム検索

@togetter_jpをフォロー

注目のまとめリスト

	ぼくのなつやすみの８月３２日をついに解説（作者本人）
	フグ田サザエbotの無断引用疑惑と引用元へのブロックについて
	なぜ村上隆がヲタクに叩かれるのか
	アトラス吸収合併に対してのアトラス社員のつぶやき
	【24時間テレビ #24htv 】はるな愛の扱いについて
	24時間テレビ関係者の呟き

最近追加された商品

	紀伊国屋書店大宅壮一文庫雑誌記事索引CD-ROM版 2000
	プレリアップヘアコンディショナー 220g
	Higher Than Dark Sky(A盤)
	中二病取扱説明書
	第九 21連発!!!
	Gift for Fanks(DVD付)