10周年のSPコンテンツ!
141
問題の概要

Pixivの主催する同人誌委託・通販・DL販売サイト「Booth」 https://booth.pm/
2014年11月28~30日限定の同人音楽専門ネットイベント「Apollo」 https://booth.pm/apollo/
開催されているまさにその最中の29日18時頃、
「気付いたら自分のアカウントじゃないアカウントにログインできている」
「アカウント情報見たら他人のだった」
「カートに入れてたものが消えた」
「カートに入れた覚えのないCDが入ってる」
「買った覚えのないCDのカード決済通知が来た」
「アカウント見たら知らない人のカード情報が見れてしまった」
などの不具合がtwitterでつぶやかれるようになり、
その後すぐにBoothもApolloもメンテに入りました。

pixiv(Booth)の対応

pixiv(Booth)のその後の発表では、
Apolloを閲覧し・Boothでログイン状態にあった125人
そのログインバグの該当者にあたる可能性があると発表がありました。

Boothは該当期間中にあった意図しない決済をキャンセルできるよう窓口を設けています。

また、Boothは3日間開催の予定だったApolloのイベント期間を1日延長して再開しました(30日夜)。

まとめ目次

(1)Boothの同人音楽ネットイベント「Apollo」で人のアカウントに意図せずログインできて人のクレカで買い物までできてしまっていたらしい件まとめ http://togetter.com/li/751441

(2)運営発表とその反応まとめ http://togetter.com/li/751845

(3)補償内容発表!まずアポロでCD購入してください!貴方が後日Boothで買い物する時同額を割引します!http://togetter.com/li/752001

(4)補償を受けるには買い物が必要→途中で条件追加「上限2000円には送料も込」「お布施システムは対象外」 http://togetter.com/li/752739

(5)情報漏洩被害者125人専用の補償申請フォーム作成!送信内容確認画面はURL直打ちすれば誰でも読めます http://togetter.com/li/754403

 
 
 

このまとめは、ログインバグが発生した29日に起きた出来事をまとめています
東方アレンジ応援アカウント(休止中) @dmnews_toho
確かにクレカ情報漏洩したかどうかはBooth運営がそう発表してはいないので、確定情報ではありません。まとめておいて責任逃れで申し訳ありませんが、あくまでも「人のアカウントでログインできて人のクレカで買い物までできた【らしい】」情報です togetter.com/li/751441
東方アレンジ応援アカウント(休止中) @dmnews_toho
もしよろしければ、今後の動向や解決編ができるようであればどなたか別の方がtogetterして、Booth/Apolloの利用者の方々に周知できるといいと思います。人任せになってしまいますがよろしくお願いします。また見れそうな時間があれば適宜RT・まとめなど行います。

 
 


 
 

 
 
 

経緯(2014年11月29日・土 17時頃~)
修平 Shuhei @shuheiMLKLY
自分のBOOTHボタン押したら作った覚えも一切ないこんなページに飛ばされるんだがログインバグったのかな。これヤバいな。 hogehoge.booth.pm
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
昨日カートに突っ込んどいたCD全部消えてんだけどー!
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
カートに入れてない商品が増えてるんですが・・・
修平 Shuhei @shuheiMLKLY
@pixiv 先ほど「自分のBOOTHを見る」ボタンを押したところ身に覚えのないページ(hogehoge.booth.pm)に飛び、この現象を報告しようと報告ページに入るとメールアドレス欄にデフォルトで身に覚えのないメールアドレスが入力されていたのですが、(続)
修平 Shuhei @shuheiMLKLY
@pixiv これはシステム側の例外処理の残りとしてこのようなページが残っているのですか?それとも本当にどこかの穴をつかれてこのページに繋がるように誰かがしているのですか?(続)
修平 Shuhei @shuheiMLKLY
@pixiv 銀行口座など個人情報を再度求められたので気付かずこちらに一度入力してしまいましたが、セキュリティ上大丈夫なんですか?不具合の場合重大なセキュリティ事故案件なので即時回答を頂きたいのですが。
修平 Shuhei @shuheiMLKLY
多分これBOOTH作った人のテストページに例外処理で飛ばされているだけだと信じたいけど(お問い合わせ一覧のとこのアドレスと同じなので)、二次元絵を使うとかPIXIVだとしても一般公開サービスとしてなにか間違ってない?
餅月 @_tsukki_
ちょっと待ってBoothから買った覚えのない注文確定メール来た
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
なんなのこれ?俺だけこうなってんの?
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
あの 全然違うIDでログインしちゃってんですけどこれは
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
よくわからんけど全然知らない人のIDで勝手にログインさせられたんだが、危険すぎない?俺だけ? #pixivAPOLLO
秋翠 @akisui
APOLLOで色々見てるが、購入しようと思ったものがカートに追加出来ない・・・その上、BOOTHのログインアカウントが他人もの切り替わっていたりと謎現象発生中。#pixivAPOLLO
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
カートから昨日入れておいた商品がごっそり消える→ログアウトさせられた?と思いApolloページからログインボタン押すPixivIDでログイン(自分のID入力)既にログインしています、の表示BOOTH作ってないのに自分のBOOTHを確認?のボタンが→ #pixivAPOLLO
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
全然しらないページが出てくる→おかしくね?とアカウント情報確認知らないIDと個人情報の嵐  #pixivAPOLLO
餅月 @_tsukki_
Boothのアカウント設定見たら知らん人のクレカが登録されてるんだけどこれヤバイだろ
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
@tomoakinnu @_SHIRIA_ ログイン状態がガバガバになるのはともかく、登録情報全部見れちゃうの相当ヤバいと思うんですがこれは

 
 
 

Apollo2日目(11/29・土) 18時13分 緊急メンテ告知
hyzara_LEX੯ੁૂ‧̀͡u\ @hyzara_LEX
はいドーーーーーーーーーーーーン!!!!!!!!! pic.twitter.com/SGIZYaGDli
拡大
AON@夜中浮上 @AON44KABOCYA
web同人音楽マーケットイベントAPOLLOで買い物をしようとしたら、途中でログイン中のアカウントが他人の物に変わる不具合や、カートに商品が入らなかったりする不具合が発生してるみたいです… 元のBOOTH自体の問題のようなのでクレカや住所を登録してる人は気を付けた方がいいかも
残りを読む(113)

コメント

honeplus @honeplus 2014年11月29日
セッションIDをURLに吐いてるのにHTMLをキャッシュしちゃったとか?(予想) ライブラリとかよく考えないで使って似たようなことやらかすの見たことある。
エビフライ@マリメ2 ID: SJK-GG2-2SG @kiruria281 2014年11月29日
これ登録している人は次の請求はちゃんと見た方がいいわ。もし身に覚えのないやつがあったらこれの不具合による可能性があるし…。
Magnetite @Fe3O4_11 2014年11月29日
元々杜撰な運営で度々問題起こしてたから多少のことでは驚かんつもりだっただけど、今度はタダ事じゃ済まされんよPIXIVさん…
かずお@4日目(火)西ほ05b @torabaradaisuki 2014年11月29日
コレあかんやろ 私自身は有料会員でもないしBOOTHも利用してなかったから対岸の火事だけど、友達が心配や
くろだ@虚無感 @ponkotsu14 2014年11月29日
買い物して数分後にメンテ画は言って何事かと思ったら、こんなことがあったとは。クレジットカード決済するときに不安感を覚えたのですが、嫌なことは当たるもので。
防人因果@ラズパイドラレコ @IngaSakimori 2014年11月29日
んー、いろいろ言ってる人いるけど、ごく基本的な連携とユーザー情報の管理の設計がゴミなだけだろうから、運営側がどうこうとか、Pixiv解約した方がいいとかそういうことよりも、このシステム作ったSIerが獄門打ち首になるだけじゃないかと思います。被害に遭われた方にはご愁傷様としか言えませんけど……
ばしにぃ @hiro_orso_viola 2014年11月29日
まともなソリューション使ってればゴミな設計なんて通るはずがないと思うけどなぁ…
showraku(a.k.a. You.T.)🌧️コミケは一回休み @You_T_ShowRaku 2014年11月29日
チェックしたらメンテ画面になっていたので何があったんだと思ったら、かなり致命的な問題になってたのね。開催前もファイルのアップロードでかなり問題になっていたし、状況的にシステムのスケジュールの読み間違えでもあったのかなぁ…。
くろだ@虚無感 @ponkotsu14 2014年11月29日
pixivアカウントがあれば認証メールにあるURLをクリックさせる作業(本人確認)を行わずとも購入ができるなど、脇の甘さが見られますねぇ。
cocoon @cocoonP 2014年11月29日
面白そうなことになって来た(ゲス顔)|しかしこれ笑い事じゃないな。すごいオオゴトなのに「何とか大事にしたくない」感でメンテ画面にして隠匿してるのは悪質。すぐにでもクレカ情報漏洩の可能性と「身に覚えのない請求が来る可能性」についてアナウンスすべき。
涼木スズ🐟3日目南サ24b @suzukisuzu_ 2014年11月29日
「身に覚えのない注文完了メールの報告フォーム」がGoogle Docs製なの、すごい緊急感を感じる。 https://docs.google.com/forms/d/13epHLkmT7pJKv97_Xh-Ym38SPc3LqBqlx5iS_23LA8Q/viewform?c=0&w=1
吊された男 @_HANGEDMAN_ 2014年11月30日
キャッシュでユーザ情報を持ってしまう事例でいえば、プロバイダー(ぷらら)がやらかして複数サイトで他人アカウントになってしまうことを経験したことがある。発生範囲狭かったから火事にはならなかったがアレの対応の糞さを思えば良心的対応に見える
catspeeder @catspeeder 2014年11月30日
またpixvかよ。すごいな、何かコツでもあるの?
裏技君 @urawazakun 2014年11月30日
個人情報関係は隠蔽すればするほど評判が落ちるとあれほどry
くろだ@虚無感 @ponkotsu14 2014年11月30日
>お詫びとして1アルバム分先払いしてもらってから12月下旬以降(予定)に割引させてもらいます。 「やったー!ただになるぞー!」と思う奴が何人いるんですかね・・・。
東方アレンジ応援アカウント(休止中) @dmnews_toho 2014年11月30日
運営のツイートやその後の展開は まとめ<2>http://togetter.com/li/751845 に移動しました。今のこのページのまとめは、29日に発生したトラブルのユーザーさんたちのつぶやきのみに絞っています。その後の展開が気になる方は<2>を見てください。
backyard of 'sintar' @sintar_bkyd 2014年12月1日
もう、Gumloadでええんじゃねぇか?って思えてきたわ…
nwoyoshi @nwoyoshi 2014年12月2日
おそらくstagingサーバに飛んでるんだろうが、production環境とstaging環境でユーザー管理共通になってそうなんで非常に事故りやすい作りに見えた。
1 fav 5171 view() @tuo6kqdf6831 2014年12月6日
日本の法規に則った対応をpixivに求めるなよ…
橘高かつのり @Kittaka1115 2018年2月1日
そういやこんなこともありましたね(白目)
ログインして広告を非表示にする
ログインして広告を非表示にする