-
wvwwvvwvwvvvwvw
- 70858
- 58
- 78
- 218
-
- いいね!218
辻 伸弘 (nobuhiro tsuji)
@ntsuji
JALのサイトに不正ログイン ↓ 名前や年齢は分かる ↓ Facebookで調べる ↓ 誕生日が判明する ↓ 操作される という流れが容易に想像されますね。
2014-08-03 02:25:08
辻 伸弘 (nobuhiro tsuji)
@ntsuji
ログインできた段階で年齢は判明してしまうので生まれ年もそこで判明。あとは月と日を1/365 or 1/366 の確率で当たると。効率を考えると攻撃者はおそらくマイルを多く貯めている人がターゲットにすると思うのでそこを重点的に攻めてきそうですね。
2014-08-03 02:30:59
辻 伸弘 (nobuhiro tsuji)
@ntsuji
そう考えると、せめてログインした時点で見せる情報をもっと絞れば(有効マイル、名前、年齢は見せない)ポイントを盗もうとする攻撃者にとっては少しハードルを挙げることができたとも考えられますね。もちろん、根本的ではないことには変わりませんが。
2014-08-03 02:33:23
徳丸 浩
@ockeghem
@ntsuji 穴もそうですが、緊急対処的なこの方法が、事件後半年も経ってようやく出てきたことが問題で、このタイミングならパスワード仕様を変える対策をとって欲しかったですね
2014-08-03 11:16:47
☕
@12648430
JALの4桁暗証番号が問題になったの3月か。4ヶ月かけてアレなら、もうちょっと時間かけて普通のパスワード認証を導入したほうが良かったのでは。
2014-08-03 11:10:18