PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて
-
- いいね!37
じゃぎやまさん
@sagiymm
*とぎゃ見る時間ない人用のまとめ* ピクシブ問題の流れ:ログイン用ID各個人のイラストページで丸出しになってる事が判明⇒パスロック制限が無い事が判明(何度ログイン失敗してもログインを止められる事がない)⇒阿鼻叫喚⇒プレ垢クレカ情報を消しに走る⇒消せず⇒騒ぎが大きくなる
2011-08-09 10:26:17
じゃぎやまさん
@sagiymm
続き:pixiv自体の管理者ログインページがなぜかwwwに(通常ハッキング防止に社内のみのアクセスしか受付けないようイントラネットにあるはず)⇒更に炎上⇒マシン状態を表示する文言がなぜかデフォの「It works!」ではなく「It workssl!」になっている(8/4取得情報)
2011-08-09 10:31:41
じゃぎやまさん
@sagiymm
続き:説明の無いままパスロック実装・管理者ログインページがイントラへ。⇒公式発表が無い為、クラッカーによる変更なのかpixiv内の人の変更なのかわからない←イマココ!
2011-08-09 10:35:41
pixivのadminツールについて
要望がありましたので、PixivのシステムによるユーザID漏洩とパスロックの未実装とadminツールについて
http://togetter.com/li/171884 からpixivのadminツールに関するツイートのみで構成します
ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール
http://twitpic.com/63a2uh
関連まとめ
・Pixivのセキュリティ騒動についての解説+おまけ
http://togetter.com/li/172303
27024 pv
94
18 users
2
しまはるき
@shimaharuki
pixiv上の作品を画像をクリックして開きソース表示すると <img src="http://img02.pixiv.net/img/●●/[作品No].jpg" border="0"> の●●に投稿者のIDが表示されるみたいなんですが…
2011-08-08 07:20:43
しまはるき
@shimaharuki
先ほどのIDというのはアカウント名ではなくてログインIDなので 居ないとは思うけど個人情報に関わる本名などをログイン時のIDにしてアカウント作っちゃっててる人は特に注意して下さい
2011-08-08 07:27:42
@q4500
画像ページ内、ピクシブブログなどでログイン用IDが丸見え 過去運営に問い合わせた人も居るけど、対応どころか返信も無し ログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題 あなたのアカウントは大丈夫? #pixiv
2011-08-08 07:46:15
しまはるき
@shimaharuki
今思ったが ログインID丸見えで後はPWをブルートフォースアタックなり何なりで割り出されるとアカウントハックされちゃうんだけど 作品は消したもののプロフィールも弄れるんだな…だとすると年齢やら何やら正直に入れちゃってる人はまた漏れる危険が
2011-08-08 07:46:52
@q4500
pixiv、過去にアカウントハックやらかしてんのか。 pixivでアカウントハック横行 乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント http://t.co/C16o2gA
2011-08-08 07:47:39
しまはるき
@shimaharuki
なおpixivにはブルートフォースアタックを抑制するような 複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです
2011-08-08 07:50:42
@q4500
ドンドン拡散してね! 画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫? #pixiv
2011-08-08 07:54:33
kanidon
@kanidon
@q4500 垢ハックとかid丸見えとかかーなり初期から色んな問題点山盛りで散々叩かれてた記憶がありましたが、結局なにも改善してないとかそういうの多すぎですよねpixiv
2011-08-08 07:56:45
龍々華
@ChieTheEroglass
pixivに投稿された画像からユーザIDがわかります またpixivはパスロック等の処置がないため力技でパスワードがハックされる可能性があります pixivのユーザIDに本名等を使用されている方は特にご注意ください まぁ以前から知られていたことだけど #pixiv
2011-08-08 07:57:03
@q4500
通常3回でパスロックされるのが個人情報を尊重するサイト。あれー?おかしいねぇー。絵師の個人情報大事にしているpixivサンはなんでロックしないのー?
2011-08-08 08:00:09
しまはるき
@shimaharuki
[まとめ]Pixiv内作品ページの画像ソースにログインIDが記されており 後はパスワードを割り出されるとアカウントを乗っ取られます ログインID及びアカウントの非公開プロフに個人情報入れてる人は注意して下さい またパスワード総当たり攻撃への対策はされてないっぽいです
2011-08-08 08:10:04
沖田 丈8
@vjoe
別に俺が第一発見者じゃないんだろうけど、他人のアカウントが丸見えってのは、確かかなり初期のpixivスレで俺が指摘してたと思う。別に第一発見者じゃないけど(2回言った)
2011-08-08 08:11:42
高橋 けんじ
@KENXY
セキュリティに問題があって、個人の信用失墜に利用できる可能性は、これもかなり初期にmixiの日記内で書いてます。まだそのままだったんだ…。多分、他の悪用できると気づいた仕様も残ってるな…。 うっうー!ζ(´▽`)ζ
2011-08-08 08:28:31
@q4500
@KENXY パスロックないんでその手の技術を持った悪意あるユーザーから見たらpixivはいい遊び場でしょうね。最近はPCも高速ですからねぇ。総当りでそんなに時間かからないかもしれないですね。
2011-08-08 08:32:07