PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて

08/08 23:44 pixivでのパスロックの実装を確認しました http://twitpic.com/62zetv ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール http://twitpic.com/63a2uh pixivのadminツールについて 続きを読む
プログラミング サイト制作 pixiv セキュリティ
187
じゃぎ @sagiymm
*とぎゃ見る時間ない人用のまとめ* ピクシブ問題の流れ:ログイン用ID各個人のイラストページで丸出しになってる事が判明⇒パスロック制限が無い事が判明(何度ログイン失敗してもログインを止められる事がない)⇒阿鼻叫喚⇒プレ垢クレカ情報を消しに走る⇒消せず⇒騒ぎが大きくなる
じゃぎ @sagiymm
続き:pixiv自体の管理者ログインページがなぜかwwwに(通常ハッキング防止に社内のみのアクセスしか受付けないようイントラネットにあるはず)⇒更に炎上⇒マシン状態を表示する文言がなぜかデフォの「It works!」ではなく「It workssl!」になっている(8/4取得情報)
じゃぎ @sagiymm
続き:説明の無いままパスロック実装・管理者ログインページがイントラへ。⇒公式発表が無い為、クラッカーによる変更なのかpixiv内の人の変更なのかわからない←イマココ!
ツイートまとめ pixivのadminツールについて 要望がありましたので、PixivのシステムによるユーザID漏洩とパスロックの未実装とadminツールについて http://togetter.com/li/171884 からpixivのadminツールに関するツイートのみで構成します ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール http://twitpic.com/63a2uh 関連まとめ ・Pixivのセキュリティ騒動についての解説+おまけ http.. 22460 pv 94 18 users 2
令和のしまはるき @shimaharuki
pixiv上の作品を画像をクリックして開きソース表示すると <img src="http://img02.pixiv.net/img/●●/[作品No].jpg" border="0"> の●●に投稿者のIDが表示されるみたいなんですが…
ぽよあき @poyonmax
@shimaharuki ピクシブまたやったの… [誕生日だよ]
令和のしまはるき @shimaharuki
@poyonmax またやったというか今までの仕様だとずっとこうだったらしいの 知らなかったよ
令和のしまはるき @shimaharuki
先ほどのIDというのはアカウント名ではなくてログインIDなので 居ないとは思うけど個人情報に関わる本名などをログイン時のIDにしてアカウント作っちゃっててる人は特に注意して下さい
@q4500
pixivの画像ページソースでIDの確認が出来るな。パスワードのロックもねぇ。馬鹿じゃねぇのこの運営。
@q4500
画像ページ内、ピクシブブログなどでログイン用IDが丸見え 過去運営に問い合わせた人も居るけど、対応どころか返信も無し ログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題 あなたのアカウントは大丈夫? #pixiv
令和のしまはるき @shimaharuki
今思ったが ログインID丸見えで後はPWをブルートフォースアタックなり何なりで割り出されるとアカウントハックされちゃうんだけど 作品は消したもののプロフィールも弄れるんだな…だとすると年齢やら何やら正直に入れちゃってる人はまた漏れる危険が
@q4500
pixiv、過去にアカウントハックやらかしてんのか。 pixivでアカウントハック横行 乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント http://t.co/C16o2gA
令和のしまはるき @shimaharuki
なおpixivにはブルートフォースアタックを抑制するような 複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです
@q4500
ドンドン拡散してね! 画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫? #pixiv
@q4500
今GPGPUでパス解析できるらしいな。pixivやばくねぇの?
kanidon @kanidon
@q4500 垢ハックとかid丸見えとかかーなり初期から色んな問題点山盛りで散々叩かれてた記憶がありましたが、結局なにも改善してないとかそういうの多すぎですよねpixiv
龍々華 @ChieTheEroglass
pixivに投稿された画像からユーザIDがわかります またpixivはパスロック等の処置がないため力技でパスワードがハックされる可能性があります pixivのユーザIDに本名等を使用されている方は特にご注意ください まぁ以前から知られていたことだけど #pixiv
@q4500
通常3回でパスロックされるのが個人情報を尊重するサイト。あれー?おかしいねぇー。絵師の個人情報大事にしているpixivサンはなんでロックしないのー?
kanidon @kanidon
@q4500 ユルめの場所でも5回も失敗したら一時ロック掛かる所が殆どですよねぇー(パス変更したの忘れててロック掛かりつつ)
令和のしまはるき @shimaharuki
[まとめ]Pixiv内作品ページの画像ソースにログインIDが記されており 後はパスワードを割り出されるとアカウントを乗っ取られます ログインID及びアカウントの非公開プロフに個人情報入れてる人は注意して下さい またパスワード総当たり攻撃への対策はされてないっぽいです
沖田 丈6 @vjoe
別に俺が第一発見者じゃないんだろうけど、他人のアカウントが丸見えってのは、確かかなり初期のpixivスレで俺が指摘してたと思う。別に第一発見者じゃないけど(2回言った)
令和のしまはるき @shimaharuki
@vjoe その後も色んな人が指摘し続けたけど放置されてたようで
@q4500
あーあ、ハッカーが気付いたらどうすんだー(棒。パスロックないいんじゃーぶるーとふぉーすされちゃうぞおー。#pixiv
高橋 けんじ @KENXY
セキュリティに問題があって、個人の信用失墜に利用できる可能性は、これもかなり初期にmixiの日記内で書いてます。まだそのままだったんだ…。多分、他の悪用できると気づいた仕様も残ってるな…。 うっうー!ζ(´▽`)ζ
@q4500
@KENXY パスロックないんでその手の技術を持った悪意あるユーザーから見たらpixivはいい遊び場でしょうね。最近はPCも高速ですからねぇ。総当りでそんなに時間かからないかもしれないですね。
残りを読む(277)

コメント

あんばっさだー @CantenFox 2011年8月8日
これまで幾度も問題視されながら大規模な騒動に発展しなかった理由が「日本だったから」くらいしか見当たらないね。アノニマスクラスでなくとも暇なクラッカー一人いたらまずまともな運営は不可能になってた筈。
flat/京山和将@昼夢堂 @flat_ff 2011年8月8日
パス解析するなら、ハッシュ値を手に入れないとできません。 もっとも、サーバ側でハッシュ化されてるかどうかは不明です。 ログインIDが大量にわかっている場合には、「逆ブルートフォース」ができます。全IDで、IDと同じパスワードとか、"password"とかを試す行為です。これにはアカウントロックは通用しません。
Alice Alias @alice_alias 2011年8月8日
えっ、ログインIDってそもそもスタックフィードのページのURLがそうじゃなかったっけ
pull @pullphone 2011年8月8日
pixivはことごとく反面教師の道を進んでるな。運営だけでなくシステムもダメだったなんてな(棒読み)
@BeastGoreo 2011年8月8日
コミケ前にわかってよかったですね(棒
piyo @hoge_20 2011年8月8日
如月氏(@tiamo520)のpixiv及びニコニコ動画アカウントの乗っ取り被害についてのツイートを追加
@gachimaya 2011年8月8日
パスロック云々は別問題として、Pixivって当初からIDごとにディレクトリ掘って画像保存する仕様だと思うんだがw 「画像にIDが埋め込まれて、漏洩してる!」とか、発想がおもしろいなw
ゆっきー @yukinakaren 2011年8月8日
そういえば昔どっかの掲示板(2chじゃない)で話題になったような・・・?パスロックしてないからハックされまくりとか誰か言ってた気が。
ひあき/かみなつき @R_Hiaki 2011年8月8日
ROM専ながらpixivのパス変更やってみたけど、記号すらパスに使えないって大問題でしょ・・・
ケルビム(ごまみそ風味) @kelbim_eden 2011年8月8日
今回の件は非常に怖い問題ですが、数年前から指摘され続けて未だ改善されることが無い以上は今から急に改善される可能性は薄いかなあ。企業側の怠慢と言うより、技術的に不可能なんじゃないでしょうか。
ケルビム(ごまみそ風味) @kelbim_eden 2011年8月8日
そもそもユーザーIDが見えている事それ自体は際立って危険な状態ではありません。今も私のtwitterIDは丸見えですしね。問題は「見えていないから大丈夫」と言う安心感からくるパスワードや個人情報管理の緩みであり、まずはユーザーひとりひとりがそこを引き締めることが大事です。
fukken @fukken 2011年8月8日
どうでもいいけど、「注意して下さい」って助言として微妙だよね。どう注意すればいいのか分からない人が困る。今回の場合、パスワードを難しいもの(記号は使えないようなので数字と英大文字小文字両方を含む、辞書に載っていない、ローマ字でもないもの)に変更した上で、登録した情報は非公開の物まで含めすべて他人に見られるという前提で片っ端から消す、くらいか。
にゃむ太 @nyamn 2011年8月8日
上のコメのハッシュ云々はついーとにGPGPUでパス解析とか言ってる人がいたからでしょw パスロック(っていうの?)されてたとしたら、総当り中に全ユーザーのIDが一時凍結になる。 メアド=IDのところもあるわけだし、オープンなSNSでアタックされるのは仕方がない話で、だから強いパスワードっていう課題が浮上してくるわけじゃない。 ”強い”パスワードを付けましょう。 記号がダメ!とか言われたらpixivの技術レベルは超低レベル、あるいは面倒だと思われているのどっちか。
ケルビム(ごまみそ風味) @kelbim_eden 2011年8月8日
パスは長めにして数字などを織り交ぜ、解析しづらいものに変えると言う基本的な防衛策はすべてのユーザーに講じてほしい対策です。他にも不安であれば個人情報の記載は控える、メールアドレスもメインで使用しているものは避ける、他のネットサービスで利用しているパスワードは使わない、など。
ケルビム(ごまみそ風味) @kelbim_eden 2011年8月8日
まあこれは本来こういう事態になってから慌てて対策することではなく、ネットを利用するうえで普段から意識しているべき事なんですけどね。我々は誰しも「狙われうる存在」であることは忘れてはいけない事だと思います。
龍々華 @ChieTheEroglass 2011年8月8日
タイトルの「ID漏洩」だけに反応して「今更」って誤解を受けてるような感じがありますねぇ(特にここのところの炎上続きでユーザの多くは嫌気がさしてますし) 重要なのは「パスワード対策が必要」の部分ですのでタイトルを変更されたほうがいいかもしれません
りれくと @lilect_hf 2011年8月8日
Twitterに関しては「ID丸出しが前提」だと皆分かってるから、Pixivみたいに「ぱっと見ID非公開」なサービスとはユーザの意識の時点で全然違うと思うんだよなあ。「個人を識別する文字列」としての認識か「個人を認証する文字列」としての認識では全然違うと思うよ。 パスロック無し?問題外。
タツコマはネコ科猛獣に襲われてしまった @TATukoma1987 2011年8月8日
注意しようがなくね? もうさ、底辺の存在だけどこういう問題放っておく所からは引っ越し考えちゃうよな。
terry @telsaku 2011年8月8日
これは洒落にならないので、とりあえずパスワード変更推奨したい
ゆうた @yuuta_ntd 2011年8月8日
TwitterはID出てるじゃんと言う人間も居るが、IDが出るというのが分かっているなら、それを前提として、長いパスワードを掛けるなり、対策や対応を行えるものだ。今回は、pixivはIDが外部にわからない仕様になっているとユーザーは認識していたので問題になったわけだ。
あるふぃ @alfylya 2011年8月8日
今回の事はずっと前からわかっていたことなのに一切対策がなかったの?pixivって課金システムもあるのにこれを放置するのは不味いだろ
piyo @hoge_20 2011年8月8日
www上のadminツールに関するツイートを追加。adminツールのURLは現時点で閉じられていますが、さらに何種かの管理ツールが露出しているようです。
オ力ザキ Al-Ni-Co @69262 2011年8月8日
Pixivの技術力は素人並みだから対策に期待が持てません。 管理意識がずさんです。 http://www.atmarkit.co.jp/news/201007/21/pixiv.html
清水正行 @_shimizu 2011年8月8日
とりあえず「パスワードが総当り攻撃で解析される」という懸念は、長いパスワードを設定すればそんなに心配することはないんじゃないかな? 「英字(大文字/小文字)数字交じりの長さ8文字のパスワード」でも、総当りで開けるには結構な時間がかかるし。 参考: http://bit.ly/oJ6aip 他の脆弱性が存在する可能性は消えないけど。
川村賢一 @kkawa01 2011年8月8日
ログインID丸見えはともかく(NIFTY ServeはログインIDが丸わかりだったしメールアドレスの一部でもあった)パスワードを何回でもトライ&エラーできる設計はありえないでしょ!しかも個人が趣味で開設してるサイトじゃなくて独立した会社だよね。ことあるごとに有料会員に登録を勧めてくるけど、これでまた課金したくない理由が増えた。
  @yllLiBe 2011年8月8日
赤字で引用されている admin.pixiv.net が現在正引きも出来ないようですが、httpd の設定を変更して外部ホストからの接続を禁止したのではなくて DNS の設定を変更したということなんでしょうかね。
肉無しチキン @zanahura 2011年8月8日
こんな状況でも現代アート絵は消されてるんだってな というか今回はマジスタンスに構ってないでこっちやるべきだよ!
うてん。 @uten00 2011年8月8日
lilect_hfさんが言ってるようにTwitterと違ってpixivは「ログインIDが非公開に見える」から安心してしまう部分が問題。だから本名IDの人やIDとパス同じ人だっているだろう。前にも話題になったのに今やっと知ったって人が多いのも必然
ヾ(zxcv)ノ @zxcvdayo 2011年8月8日
その後admin.pixiv.net以外にも複数見つかっています。元からあいていたのかハックされたのかは分かりませんが
hiwo🐑KOMみて @hiwo_ 2011年8月8日
RT @kanidon: @q4500 垢ハックとかid丸見えとかかーなり初期から色んな問題点山盛りで散々叩かれてた記憶がありましたが、結局なにも改善してないとかそういうの多すぎですよねpixiv
だこば壱郎 @dkv01 2011年8月8日
_shimizuさん/ 素朴な疑問なんですが、そのパス解析されるまでのデータって2006年のものなんで、現在のスペックだとどれくらい短縮されるんでしょう……
AQN@ヮ<)ノ◆ @aqn_ 2011年8月8日
ログイン用IDが見えるだけで大騒ぎならtwitterはどうなるんだよ。
AQN@ヮ<)ノ◆ @aqn_ 2011年8月8日
短いパスワードを設定するようなセキュリティ意識の低いやつがログイン用IDが公開されたくらいで騒ぐなよ。
あんばっさだー @CantenFox 2011年8月8日
@aqn_purple twitterは複数回パスを弾かれると一定時間ロックが掛かります。このまとめ内でも言及されている事です。最低限基本的な情報を調べた上で発言して下さい。貴方は今デマを発信したのです。
すいはん @suihan74 2011年8月8日
↑admin丸見えだったから騒いでたんじゃないの?
fukken @fukken 2011年8月8日
管理ツールの件。通常ユーザーのログインと同様にログイン試行が無制限にリトライ可能だった、という噂が事実なら、悪意のあるユーザーが管理ツールを自由に使えている可能性もある。 管理ツールの機能次第だが、普通に考えて割となんでもアリになるだろう。被害範囲が予想できない。希望的観測だけど、流石に管理ツールの操作ログまたはアクセスログ程度は取ってるだろうから、実際に管理ツールに不正アクセスの痕跡があるかどうかはある程度は調査可能だろう。
fukken @fukken 2011年8月8日
勿論、「脆弱性は存在したが、それを悪用した奴はいなかった」「そもそも管理ツールは他の形でセキュリティを確保しており、脆弱性は存在しなかった」というハッピーエンドを迎える可能性もある、と補足しておく。
ヾ(zxcv)ノ @zxcvdayo 2011年8月8日
管理ページ全公開なのが分かった時点で,鯖とめて精査しないとまずいと思うんですけどね……
@skywater256 2011年8月8日
@fukken 渋運営が「不正はなかった」なんて言っても説得力ないですし、もう終わりでしょうこのSNS。カオスラウンジ騒動で退会したけどちゃんと情報削除されてればいいな・・・
hk @hk_Portfolio 2011年8月8日
「カオスラウンジ騒動中」「パスワードロック無し」「admin丸見え」「数年前からずっと」ってアレコレ不安要素が重なったから中騒ぎになってしまったのかと
nwoyoshi @nwoyoshi 2011年8月8日
最近の事例では、不正アクセス発覚で即サーバ停止の後PSNで約1ヶ月、サミータウンで約10日でサービスを再開していた。
あんばっさだー @CantenFox 2011年8月8日
メールサーバーに侵入されたら契約内容から何から全部情報盗まれるのに、こんな脆弱性を数年に渡って放置し続けてきたSNSと広告契約を交わす企業が今後あるのだろうか。収入の多くを広告に頼っているpixivにはそれが一番の死活問題。
Yasu @yasuns 2011年8月8日
これは酷い。色々と…
p @paip0__ 2011年8月8日
管理者サーバーを公開て。字面見ただけでもダメってわかるよね
kingyo @hvc_kn 2011年8月8日
現時点で公式アカウントからのアナウンスがないのが不気味だなあ。なおさら不安を煽る要因になっているような。
ヾ(zxcv)ノ @zxcvdayo 2011年8月8日
まとめ方が微妙に悪くてあまり伝わってないなあ.後半のadmin関係が一番ヤバいのに
こくとう💎お人形になりたい @Jean_Coc_Teau 2011年8月8日
漏洩って普通にIDはオープンな情報だと思ってたけど何か問題あるの?ID公開のサイトなんてたくさんあるし、IDが非公開かどうかなんて登録時には分からない。仮にID非公開だったとしても簡単なパスワードを設定するなんて論外だと思うけど…。
こくとう💎お人形になりたい @Jean_Coc_Teau 2011年8月8日
管理者画面がオープンだったのはアレだけど・・・。あとブルートフォース対策の施されていないサイトってかなりあると思う。だれもパスワードを破ろうなんてしないだろう何て安易な考えは捨ててある程度は強いパスワードを作るべきだと思うな。
さまよううさぎ(こたつ) @rove_labbit 2011年8月8日
「今までもそうだったのに何が問題なの?」「他も対策してないよ?」「ユーザーも問題あるよね」「管理者がなんとかするよ」、この反応はこの騒動が始まる前なら有効ですが現状、すでに問題となってます。完全に後手です。今この瞬間にもアカウント情報が抜きだされていると考えるべきだと思います。危機感を持ちましょう。
@Haruhi_Fake 2011年8月8日
洒落にならない、脆弱性だ! っていうならIPAとかに通報すれば良いじゃん。 あと元々どの範囲にUserIDが使われてたのかは知らないんだけども、誰かが言っていたように初めから「公開ディレクトリ名にUserIDを含んでいる」という様な仕様ではなかったの? 過剰反応になってない? 流し読みしかしてないけど、その辺りが何か曖昧な感じがする ただまあ、管理ページをwwwのドキュメントルートの内側に置いてた部分は論外かな。
あるふぃ @alfylya 2011年8月8日
この騒動で大丈夫って言ってる人は河が氾濫したとき中洲に残って笑いながら手を振ってる人にしか思えない
piyo @hoge_20 2011年8月8日
admin.pixiv.netについては、まとめ中にもあるように16:10前後にはアクセスできないよう対策がなされています。pixiv運営による対応であるなら公式アナウンスが欲しいところですが。
佐倉和音🥴 @O_Flow 2011年8月8日
今年の早いうちに何とかしても年内でサービス終わる予感がする。 pixiv関連の書籍も不良在庫。 海外ユーザーは平和ボケの国内ユーザーよりも危機意識高いから即時撤退。もうダメだw
佐倉和音🥴 @O_Flow 2011年8月8日
ついでに言えば広告主も逃げ出すから広告に頼りっぱなしの運営にとっては死活問題。プレミアムも解約炎上だからpixivは事実上収入がなくなるんだよね。 当然増やしまくった社員も解雇。
天語謝扇 @amagatari 2011年8月8日
これ普通に情報ぬかれてる可能性が…ありますよね…?
墓泥棒 @tomblooter 2011年8月8日
連続アクセスでIPBANされるのは画像サーバ周りだけでlogin/basic認証周りはブルートフォースし放題だったらしい。終わったな
令和のしまはるき @shimaharuki 2011年8月8日
冒頭の僕のツイートで本来の論点がブレているということでしたら、必要に応じて削除して頂けたら僕としても幸いです。あくまで3年遅れで知ったネットワーク&プログラム素人の反応に過ぎませんので。よろしくお願いいたします。
jun@Jun-nyan(sɹǝunɾ) @juners 2011年8月8日
そろそろ外部サービス使ってOAuthとかOpenidとかでログインするようにしてくれないかな。ログインにパスワード不要にして欲しいな。(外部サービスを使わないとログインできない仕様がベスト)
やなかず @gosteady 2011年8月8日
pixiv大変だな(棒 
エターナル艦艦 @ss11223 2011年8月8日
だからふたばの奴らは最終的にどうなってほしいの?こんなん続けても、お前らが普段からやってる悪行が露呈していくだけだろ。これ以上双葉を住みづらくするんじゃねえよ
むささび屋(,, -`x´-) @Josui_Do 2011年8月8日
エタ東先生がふたば憎しで、謎のコメントをしている。そんなことよりおっさんと話をつけろ。謝礼が出るかもよ?
肉無しチキン @zanahura 2011年8月8日
「」もとしあきもマジスタンスもこのpixiv大爆発には関与してないぞ 勝手にpixivが爆発して皆呆然と見てるんだよ
く~や@mld.day1.5th @kuya2009 2011年8月8日
pixivでブルートフォースって現実的な方法で可能なの?
あるふぃ @alfylya 2011年8月8日
まるでその人たちがやった悪行みたいにいってますけど明らかに運営の不手際なんじゃないでしょうか?もし理解せずに喚いてるなら見苦しいし理解して囀ってるなら情報操作で混乱でもさせてみんなに迷惑をかけたいんですかね?
pappy(ぱぴー) @pappyhiro 2011年8月8日
いやいや退会してどうすんの。再取得されて使われるだけじゃん。「そこまで有名じゃないからいい」って考え方もあるだろうけど。 取得されて困る情報を消しつつパスワードを強化してアカウント守ったほうがよいですよ。 そのサービスを使う使わないは別にしておいて。
すてふ🍊6/22−23仙台 @stefrr 2011年8月8日
RT @shimaharuki: なおpixivにはブルートフォースアタックを抑制するような 複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです
もきち @mokichi 2011年8月8日
adminとか難しいことはわかんないけど、IDが各イラストを「画像だけ表示する」すればID見られるのはずいぶん前から知ってたなぁ。実際それ使ってdrawrのユーザーを探したりしてたし。
く~や@mld.day1.5th @kuya2009 2011年8月8日
以前から仕様が変わっていないのだとしたら、ブルートフォースは現実的な方法では無理なんじゃないかな。PPP再接続ごとにGlobalIPが変動するのであれば近いことは出来ると思う。
エターナル艦艦 @ss11223 2011年8月8日
世の中には間違ってることや、理にかなわぬ事なんていくらでもあるだろ。最初から俺が疑問に感じてるのは、「なんでこれなんだよって」って事。そんなに世直しがしたいならこの国と戦えよ。この国には、おかしな事や、間違ってる事が腐るほどあるぞ。ほら行きなよ正義の味方君
く~や@mld.day1.5th @kuya2009 2011年8月8日
あと、僕の記憶ではpixivは以前はIDがそのまんまニックネームの役割を果たしていた。途中からIDはソースの中に残って、通常のサービス利用にはニックネームと通番で諸々を識別するようになった。
あどばーす・よー @AdvYaw 2011年8月8日
【はてブコメントより転載】id:likibp twitter入ってないのでだれかお願い。adminツールの件が、ボタン押さないと見えないので、分割して欲しいとまとめ人に伝えるようお願いします。(id公開?別にいいじゃんと行っている人結構多いので)
pappy(ぱぴー) @pappyhiro 2011年8月8日
異論ある人がIDの件だけに異論言ってるのが可笑しいな。「ユーザID漏洩とパスロックの未実装とadminツール(の公開)」のコンボで問題だってのに。
pappy(ぱぴー) @pappyhiro 2011年8月8日
@ss11223 は何と戦ってるんだ。ふたばになんか言いたいならふたば行きなよ。pixivにふたばは関係あるかもしれないけど、この件には一切関係ない
文殊堂 @monjudoh 2011年8月8日
クレジットカード情報消せないのも酷いと思ったけど、自分のクレジットカード番号全桁見れるんだよね?この話の流れだと、それも普通にまずくない?
たきぎまき@1日目西あ09a @takigi_maki 2011年8月8日
クレカに関して、不正使用等の報告は今のところ上がっていないと思います。一応、最悪の場合を考えて一時停止にしたり、暗証番号を変える等しておいた方が良いとは思います。
たきぎまき@1日目西あ09a @takigi_maki 2011年8月8日
連投失礼します。あと、こちらはログインしなくても見れますがpixiv利用規約9条その3「登録メールアドレス、パスワード及びIDが第三者に利用されたことによって生じた損害等につきましては、当社はいかなる責任も負いません」
にゃむ太 @nyamn 2011年8月8日
クレカ情報は11~12桁中、下4桁だけ表示、あとは*で隠すのが普通。ていうかそれで誰も困らない。
天語謝扇 @amagatari 2011年8月8日
http://togetter.com/li/172129 これは、ちょっと申し訳ないんですが…検証足りえないです、それ以上でもそれ以下でもない。あとアタックはしちゃ駄目…駄目ですよ…。
sprinter @bifocalsprinter 2011年8月8日
@ss11223 それは何にでもいえることですし、理にかなうとかそういうことじゃないと思いますよ。
こくとう💎お人形になりたい @Jean_Coc_Teau 2011年8月8日
私がIDの件だけに異論を提示したのは、それぞれの問題の次元が違いすぎて一緒には扱えないからです。総当たり攻撃対策が無いのも問題です。ただアカウント乗っ取りに関して「簡単なパスワードの使用という問題が根本にある」という認識無しに、単にPixivの対策が甘かったという解釈が広まるのは危険だと言いたいんです。
こくとう💎お人形になりたい @Jean_Coc_Teau 2011年8月8日
既に何人もの方が言われていますが、IDが非公開だとか総当たり攻撃対策の有無に関係なくパスワードはある程度強くしておくべきですし、それでアカウント乗っ取りは大体防げます。まあそれでも簡単なパスワードを使う人は大勢いるでしょうし、総当たり対策も可能なら実装すべきと思います。
こくとう💎お人形になりたい @Jean_Coc_Teau 2011年8月9日
危険なのはイントラネット用の管理ページが外部から見えていた問題。以前から誰かが侵入を試みていたかも知れないし、最悪パスワードが破られていた可能性もありますからその点の調査は必要かと思いますし、他にも転がっているであろうセキュリティ上の問題についても徹底検証して欲しいと思います。
あるふぃ @alfylya 2011年8月9日
企業としてこういった可能性が露見した時点で何らかの発表をするのが大事なんだけどね。社会じゃ信用を得る行動が大事なのにその行動が一切無いものからは信用を無くして当然だよ
アニメ大好きハゲおじさん @Crimson_Apple 2011年8月9日
pixivはROM専だからあんまわかんないけど、ID見えてるのは問題ないと思うが、ログインした設定ページからクレカ番号全部見えちゃうのは問題ありすぎ。
ショウ @bluescape735 2011年8月9日
クレカ番号は下3桁しか表示されませんよ。adminの中身が結局わからずじまいなので安心はできませんが、少なくともアカウントの個別クラックで取られるのはカードの種類、有効期限、番号下3桁のみです。
piyo @hoge_20 2011年8月9日
「pixiv閲覧後ウィルス感染を確認した」という報告がいくつかTwitterで見掛けられますが、具体的なウィルス名・ウィルス種の報告が無いことと、pixivアクセスとの因果関係が確認できないことから、現時点ではまとめに掲載しません。
うてん。 @uten00 2011年8月10日
告知はされない割りにヘルプページ http://www.pixiv.net/help.php にこっそりセキュリティの項目が追記された。比較用8月7日キャッシュgoogle http://bit.ly/nHxLJ2 yahoo http://yhoo.it/pckweb
労基んぐ @gokaichoo 2011年8月10日
専門用語を羅列するだけで技術的な質問には何一つ具体的に答えられないデマゴーグ@q4500さんは、俺に論破されてプロバイダへの出勤途中に憤死したんだからまとめからも消してあげればいいのに。。
Masaki Matsushita @_mmasaki 2011年9月3日
「ユーザIDが公開される事が明示されていなかった」事が問題だと見る向きもあるようだけど、ユーザIDというのは非公開であると明示されていない限りは公開される可能性があるものと考える必要があると思う。
Masaki Matsushita @_mmasaki 2011年9月3日
ユーザIDとパスワードが同一というのは、ユーザIDが非公開であると思い込んでいた点を差し引いてもやはりユーザに落ち度があると言わざるを得ないと思う。容易に推測可能なパスワードを設定しているというのも、同様ではないか。
Masaki Matsushita @_mmasaki 2011年9月3日
試行回数の制限はあるに越した事はないと思うけど、それがなかった事でpixivが責められるものでもないと思う。現実的な試行回数で破られてしまうパスワードを設定した責任はユーザにある。
Masaki Matsushita @_mmasaki 2011年9月3日
ただ、pixivはパスワードを変更しようとした時に求められる現在のパスワードと新しいパスワードを、SSLで送信する方法が無いように見える(僕の探し方が不足なのかも知れない)。これは問題であると思う。
pmint @pmint 2011年9月5日
騒動の火を絶やさないためなんだろうけど、ひどく今さらな話とどうでもいいことに難癖をつけても情弱以外には通用しないよ。
pmint @pmint 2011年9月5日
Webでパスワードがロックされるサイトなんてあったらお目にかかりたいw 適当にパスワード打ち込めば気に入らない奴のアカウントを凍結できるわ。特に技術いらない。 自分の会社の社内システムがそうだからってそのままネット全体に当てはめちゃダメだよ。
pmint @pmint 2011年9月6日
ゆうちょダイレクトもロックされたw 解除には郵送による手続きが必要。荒らしたい放題だな。ログイン以前のことだから犯人特定は不可能だし。セキュリティの要件には「可用性」というものもあったはずだが
斉藤・W・ルビンスキー@日本の終焉を見守る世代 @dojitenshi 2017年4月16日
日本は、IT技術世界最下位だから、ある意味やり放題は当たり前かもな
ログインして広告を非表示にする
ログインして広告を非表示にする