2019年7月18日のtwitterセキュリティクラスタ

slackに過去のインシデントがらみで何かあったらしくパスワードリセットが行われています。

In response to new information about our 2015 security incident, we are resetting passwords for approximately 1% of Slack accounts. See slackhq.com/new-informatio… for more information.

何らかの理由で漏えいしたSlackのアカウント情報のリスト約65,000人分を外部から受け取ったらしく、該当ユーザのパスワードリセットを行うようです。

Slack to reset passwords for tens of thousands of users
zdnet.com/article/slack-…

パスワードがリセットされた。バグ報奨金プログラムとの関係が良く分からん。「お前のところのパスワードが漏れているぞ」というのも受け付けているのだろうか。
2015 年の Slack セキュリティインシデントにかかる新たな情報のご報告 | The Official Slack Blog
slackhq.com/intl-ja-jp-new…

Slackのパスワードをリセットしたというメールが来てたんだけど(フィッシングではなさそう)、これが他の全部のWorkspaceについても発生することを想像するとうんざりする
シングルサインオンにならんかねえ

リセットしました / “2015 年の Slack セキュリティインシデントにかかる新たな情報のご報告 | The Official Slack Blog” htn.to/3JN9iHgYDy

この件でメールきた / “March 2015 security incident and the launch of Two Factor Authentication | The Official Slack Blog” htn.to/2AHn1ZJZmq

今Slackのパスワードリセット受けてると言ってる組織はまだsso連携できてないってことかい

その他に気になったことはこのあたり。

外出先でモバイルデータ通信端末を使った結果感染した事例が続いているので注意喚起として公開しました。 / 日本国内でモバイルデータ通信端末経由のマルウェア感染事案が増加 | Secureworks secureworks.jp/resources/at-p…

関連ですが、ゲストネットワークを開設しているようなイベント会場なんかも注意した方が良いですよ。ネットワーク側でPortsec的な設定がしっかりしてあるなら良いのですが。割と最近、阿鼻叫喚を見てしまいました… twitter.com/you0708/status…

みたいです。

『第25回 MBSD セキュリティ勉強会 Webアプリケーションの「実装上の不備」に起因する脆弱性である「クロスサイトスクリプティング」を取り上げます。』

mbsd-ws.doorkeeper.jp/events/94831

『ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります』

2019年07月18日
【Yahoo! ID連携】実装方法再確認のお願い – Yahoo!デベロッパーネットワーク
developer.yahoo.co.jp/changelog/2019… pic.twitter.com/KQrIoyplT0

WebAuthnの重要な機能のひとつ、Resident Keyがデスクトップ版Chrome 76から利用可能に。認証機がアカウント情報を覚えてくれるので、アカウントを選択して指紋でログイン、みたいなことができるようになります。詳しくは
blog.agektmr.com/2019/03/fido-w… twitter.com/agektmr/status…

Chrome CanaryでResidentKey使ったWebAuthnの認証動いてた!(動画にしたらすごいボヤけてて見えない)
youtube.com/watch?v=CAdilE… pic.twitter.com/0ZeSNCv0MR

npmjs.com/advisories/1074
packageが公開されてから対応されるまで1日以内で早い(流石にこのpackage名で取られると…)

EthereumのFuzzing Frameworkみたいです。仮想通貨系システムもFuzzingの対象になりつつあるようですね
github.com/crytic/echidna

A Windows native DLL injection library written in C# that supports several methods of injection.
github.com/Akaion/Bleak

New Attack Lets Android Apps Capture Loudspeaker Data Without Any Permission. Read the full story via @TheHackersNews snps.social/XuRD50v2Rlj pic.twitter.com/yrsJRqRKLu

暗号資産版SWIFT創設へ、国際送金時の個人情報共有=関係筋 reut.rs/2LuaxDQ

ブルガリア歳入庁サーバーにハッカーが侵入。500万人分の個人ID、納税、医療情報など漏洩か
engt.co/30wFGtC

悪意ある「Python」ライブラリーがPyPIで発見される–研究者が報告 japan.zdnet.com/article/351400…

中国でローンアプリのユーザー情報が公開状態に–460万台以上が対象、位置情報も japan.zdnet.com/article/351400…

【意外と知らない?】スマホもウイルスに感染するの?【ネットキュリティの基礎知識】 internet.watch.impress.co.jp/docs/column/se… pic.twitter.com/7UpE62eKAn

IoTマルウェア「Mirai」関連のパケットが減少、ISPやユーザーの対策実施により(JPCERT/CC定点観測レポート)  internet.watch.impress.co.jp/docs/news/1196… pic.twitter.com/jZK6dPFzmJ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>