2019年6月13日のtwitterセキュリティクラスタ

パスワードはBase64?MeChuの個人情報流出事件

note.mu/yuki_sukosuko/…
mechu個人情報流出についての詳しい経緯と私の思う所をまとめました。
mechu利用者の皆様、mechu以外のサービスで同じログインパスワードを使わないでください。

#Mechu #ZIG #流星群プロジェクト #黒の声約者 #プロジェクトレヴ
#個人情報流出 #VTuber #バーチャルYouTuber

【お知らせ】
この度は、MeChuを利用する皆様に多大なるご心配、ご迷惑をお掛けいたしまして、大変申し訳ございません。ユーザー様のメールアドレスと暗号化したパスワードが流出した件についての調査を行いましたので、追加でご報告させていただきます。

▼追加報告
drive.google.com/a/zig-inc.com/…

【ご対応のお願い】
暗号化されたパスワードをそのまま使用することはできませんが、悪意のある第三者による解析が行われる可能性があります。
お手数お掛け致しますが、MeChuでのログインに利用しているパスワードの変更をお願いいたします。

▼パスワードの変更方法
drive.google.com/a/zig-inc.com/…

@MeChu_official パスワードそのものが流出しているのと同義だと思いますので、ユーザーの不利益を未然に防ぐために同じパスワードを使いまわしている全てのサービスについてパスワード変更を促すべきです。

@MeChu_official 11日に調査が終了しているにも関わらず今日に報告があったり色々突っ込みどころが多いです。
初手の対応や諸々の説明をするかは運営さん次第ですしそこからユーザーがどう思うかも… pic.twitter.com/iIWbc1Shiv

今回の件を通報した人が詳細をまとめています。

『「パソコンに詳しくなくても検索すればすぐに復号化が可能だ」とのこと
それを受けて私が自身のアカウントで試した結果、僅か数分で復号化に成功』

【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について
note.mu/yuki_sukosuko/…

パスワードを復号しているツールは cafegoju.com/safety/b64cryp… で、このツールのパスワードは空欄だから、暗号化=単なるBase64……?
【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】|ゆき|note
note.mu/yuki_sukosuko/…

えっパスワードをBase64で”暗号化”してたってこと? / “【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】|ゆき|note” htn.to/36Zc5MnMRM

mechuのまずいところ
・ユーザのメールアドレスとパスワードが流出してるのにその報告が日数経ってから
・宣伝したVTuberの一部が流出した件知らんぷりしてる
・パスワード漏れちゃってるから全サイト使いまわしてる人は全サイトのパスワード変えないと乗っ取られる。グーグルアカウントとかね

悪意のある第三者による解析という名の base64 デコード (いろいろと厳しい…)

MeChu終わってるね。4月3日に正式サービス開始、6月11日にメールアドレス漏洩が発覚、6月13日にメールアドレスとハッシュ化したパスワードが流出したことが発覚(ハッシュ化したパスワードは容易に復号できるというおまけ付き)、そして退会しようとするとGoogleフォームでこれ pic.twitter.com/jlcenrOytX

話を追う限り、開発者は素人の独学レベルということなのだろうかという考えに至った。少なくともまともな入門書を読めば、このような実装がいかに身を亡ぼすことになるのかは理解できるはずだ。 / “【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星…” htn.to/2Ngjo6mvRh

流石にmechu登録してなくて良かったと思うしこれからもしないと思う

その他に気になったことはこのあたり。

侵入はされたが漏洩も改ざんもないという珍しいリリース(そのレベルだと黙っている企業が多いため)。あなたは正直者ですね案件 / “日邦産業 | 当社ホームページへの不正アクセスに関するご報告とお詫びについて” htn.to/FYyGDEmmoR

@ockeghem うちのサイトは魅力なかったのだろうか?と別の意味で悩んでそうσ(^_^;)

次は侵入はされて改竄はあったけど、改竄は実は脆弱性が修正されたという事案に期待 twitter.com/ockeghem/statu…

“Vim or NeoVimを使っている人は、すぐにアップデートしましょう [CVE-2019-12735] – Qiita” (5 users) htn.to/46kKDnevMb

会社の福利厚生の欄に、パスワード変更ポリシーが乗る時代はまだか。

「弊社はパスワード漏洩やセキュリティインシデントが発生しない限り、社員にパスワード変更を求めえうことはありません。2要素認証は必須です」

みたいな感じ。

とりあえず、Pマーク審査に「パスワードの定期変更」を求める審査会社がある以上、Pマークを取得している会社は実現不可能。
Pマーク審査でセキュリティ下げさせるなんて本末転倒なんだけど。 twitter.com/tokoroten/stat…

「サイバー攻撃に利用されたランサムウェアは新型のマルウェアで、ウイルス検知ソフトの更新が数時間間に合わなかったため、感染した」というプレスリリース文の一節を読んで、ものは言いようだなぁと思いました

が、言い換えると「感染したのはウイルス検知ソフトのせいでもっと早く定義更新してくれていれば感染しなかった」という印象を世間に持たれないと良いなと思いました。

まぁ「定義更新されてベンダーからは提供されていたけど自社内で適用するのが遅れた」説の方が可能性としては高そうに思えますが、もしそうだとしたらそのように分かりやすく書いて欲しいですね > (PDF) fasmac.co.jp/wp/wp-content/…

ヤフースコアからの返信来た!!「お客様のご要望されている用途にはご利用いただくことができません。」やって!!

ユーザー自身のスコアをユーザーに提示するアプリは作ってはいけないらしい。 #ニヤニヤ

スコアを知ることも出来ず、スコアを知らせることも出来ず、オプトアウトで計算されたスコアをオプトインで第三者提供。

オプトアウトするための判断材料しかないやないか。

とりあえずこのスコア問題のパネルにいいネタを提供するとこまでは出来たかな。 jilis.org/events/2019/20…

3位と4位と5位の方に変動がありました。3週連続の報奨金ランキング掲載は珍しいですね。今週もご報告をいただきましてありがとうございました。 pic.twitter.com/UDfT2IaSeI

被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
atmarkit.co.jp/ait/articles/1… pic.twitter.com/YYwQdaJNBI

[ITmedia NEWS]Android端末によるセキュリティキー、iPad/iPhoneでのGoogleアカウントログインもサポート bit.ly/2WzE6Vy

[ITmedia エンタープライズ]Android端末、iPadとiPhoneでセキュリティキーとして使用可能に bit.ly/2WEvguP

[ITmedia エンタープライズ]メモリ内のデータを読み取られる恐れ、“Rowhammer”利用した新手の攻撃手法「RAMBleed」が判明 bit.ly/2KHRQeE

グーグル研究者が「Windows」で使われる「SymCrypt」のバグについて情報公開 japan.zdnet.com/article/351384…

「Chromeはアドブロッカーを殺そうとしているのではなく、安全なものに」–グーグル説明 japan.zdnet.com/article/351384…

アドビ、「Flash Player」「ColdFusion」「Campaign Classic」の脆弱性を修正 japan.zdnet.com/article/351384…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>