2019年7月19日のtwitterセキュリティクラスタ

@ma10ma19 電話してます。そのうえで、セブンペイに問い合わせろの一点張りです。

@methuselah3 セブンペイに問い合わせた結果をセゾンに知らせましたか?

私がセゾンカードを不正利用されたときは、不正利用された店舗などに問い合わせた結果をセゾンに報告した後に請求が取り消されました。

@ma10ma19 はい、そのうえでセゾンに不正だと言われましたと言ったのち、長い保留のあと、本件はセブンペイさんへお問い合わせください、でおしまいですよ

#7pay

だから言っただろう、明細が上がってきたら相談してくださいと言ったのは君たちだよセゾン
けっきょく確定したということは、30万立替しろということだ
「セブンペイに相談してください」ということは、事象把握してるねセゾン

解約祭りだな…
優良顧客を失うけど仕方ないね pic.twitter.com/rZHndz6GMH

首になった元MS社員がMSへの詐欺で逮捕。テストアカウントを利用。テストアカウントは商品の配送が行われないよう配慮されていたが、デジタル通貨への考慮がなされていなかった。 twitter.com/TheRegister/st…

レノボとGigabyte制マザーボードを利用する多数の企業のサーバの Vertiv’製BMCファームウェアに2つの脆弱性。ファームウェア更新時に電子署名をチェックしていない問題と、当該BMC上で動くLinux環境にシェルスクリプトインジェクションが可能。 twitter.com/TheRegister/st…

zip圧縮+パスワード別送(PPAP)問題が記事に!多少のメリットも認めつつ「コラボレーションの邪魔をしていないか?」「相手の生産性下げていないか?」こういうヘルシーな議論を各組織で始めていって欲しいのです。
#仕事ごっこ #PHPオンライン衆知shuchi.php.co.jp/article/6611 @PHP_shuchiさんから

パスワード付きメール強制は、ハナからセキュリティイシューが目的ではなかった派かなwww 論点が合わなそう。 shuchi.php.co.jp/article/6611

PPAP自動化サービス(素のファイルをメール添付して送信したら自動でパスワード付きZIP化して、後から自動でパスワード送ってくれる)みたいなのもあって、ほんとやめて欲しいの(誤送信してご丁寧に同じ宛先にパスワードまで送るからやめましょうよって言ッテモ聞イテモラエナカタヨー) twitter.com/fshin2000/stat…

ZIPを送ってパスワード後追いとかよくあるけれど(あれホントやめてほしい)、こういう攻撃をしやすくする土壌にもなりやすいですね。
ZIPとパスワード送付のシステムメッセージの組み合わせに慣れすぎてしまうと、ついうっかりってこともあり得るかなと。
news.mynavi.jp/article/201907…

標的型メール攻撃訓練のネタまとめ。#あやしーめーる訓練

私はこれが嫌:
> 「訓練メールを年に数回送信して、メールに気づいたかどうかをアンケート集計したり、開封した社員の割合を調査する。開封した場合は、もう1回メールを送るだけ」
news.mynavi.jp/itsearch/artic…

言いたい:
1.「あやしーめーるはひらかないよーにしましょー」って終わる=感染の責任を個人に押し付けている。そんなんじゃ感染に気づいても隠蔽されるだけ。
2.あやしーめーるかどうかコストをかけて確認するのが非現実的な人(論文を出しているとか、広報とか人事とか #あやしーめーる訓練

うーん書いてみるとすでに議論され尽くしてて面白くないなあ。隠蔽されるだけっていうのをすごくいいたいんだけど。だから情報セキュリティ事故対応アワードみたいに、むしろ感染を報告したら褒められるくらいになってほしいの。 #あやしーめーる訓練
togetter.com/li/1325542

永らく策定に携わりました「ISMSへのprivacy information managementのための拡張」という国際規格ISO/IEC 27701が8月に発行されます(策定中は27552でしたが規格番号が変更になりました)
iso.org/standard/71670…
つっこみどころ満載の規格なので、FAQでも作成して公開するかも・・笑

オーガストが利用しているECサイト「ECオーダー.com」について、漏洩が心配される事態のようだ(バグであれば第三者機関は出てこないのが通常かと)。

ゼウスの決済を使っていた(2012年から)がそちらではリリースがないため、決済画面書き換えの可能性がありそうだ。
august-soft.com/news/2019/07/1… pic.twitter.com/jiTeR9pQzB

別のショップも「復旧時期未定」で連絡がされているようだ。
ショップとの連絡があまりなさそうに見え、現状が不明に見えるようだ。 pic.twitter.com/bh0vcjYJe2

AIベースのEPPをBypassする手法。細工した文字列をMimikatzに付与する事で、CylanceをBypassできたとのこと。同製品のログには信頼度スコアが出力されており、これを観察してCylanceの挙動を分析し、分類結果を狂わせる文字列を見つけたとの事。面白そうなので詳しく読む。
skylightcyber.com/2019/07/18/cyl…

We listened to you & we responded! Take a look at our new dedicated security documentation for 40+ AWS services, a direct result of customer requests, with more to come: amzn.to/2Y4FkNl pic.twitter.com/nsOFJ5LVmJ

ECオーダー.comはメンテナンスにリダイレクト、運営元?のホビックス株式会社は特にリリースがないようだ。

hobibox.co.jp
ec-order.com -> maint.ec-order.com/maintenance.ht…

Microsoft Edge still sends your SMB NTLM credentials over the internet -in 2019- via <iframe>, <img>, etc. Great for external pentest -> internal via phishing, XSS, etc! pic.twitter.com/X1f3Bd9NHz

Ubuntu は USBCreator D-Bus インターフェースに存在する特権昇格の脆弱性に対応したパッチを公開しました。当該の脆弱性を発見した @Unit42_Intel の @NadavMarkus が、脆弱性を発見した方法とその機序について本稿で説明しています。詳しくはこちら:
bddy.me/2Y4avbR pic.twitter.com/NfGsru9hnG

【ブログ更新】一昨日、オランダ国家警察は、マカフィーによる重要なサイバー分析情報をもとに捜査した結果、20歳のハッカーを逮捕したことを発表しました。その詳細をお伝えします。
blogs.mcafee.jp/aids-police-in…

「企業における情報セキュリティ実態調査」の2019年版のレポートを公開しました。

今回は計2,807社(日本:1794社、米国:509社、シンガポール:504社)の企業のセキュリティ実態を各国比較をしながら調査・分析しています。

無料でDLできますので、ぜひご確認ください!
hubs.ly/H0jSDLJ0

この論文は、Facebook が2要素認証のために必要だということで取得したユーザの電話番号等を、実は裏ではターゲット広告のために使っていたことを明らかにしたという話。 twitter.com/random_walker/…

[!注意喚起!]
ドコモの新しいタイプのフィッシングサイトを見つけました。
ドコモ/dアカウントユーザーの皆様、当サイトへのアクセスを誘導する不審なメール/SMSにご注意ください。

id-crd[.]com/id
128.1.90[.]136

#Phishing #フィッシング詐欺 #docomo #dアカウント
@docomo_cs pic.twitter.com/XhVjHL6pms

カザフスタンで全インターネットプロバイダーが政府によるルート証明書のインストールをユーザーに要求、ユーザーの全HTTPS通信をMan-in-the-Middle傍受可能に。なんてことしやがる。 bugzilla.mozilla.org/show_bug.cgi?i…

「各ブラウザメーカーはこの証明書をブラックリスト入りさせて、手動でインストールされても機能しないようにすべきだ」「そうしたら政府がブラックリストを無効化したフォーク版を作るだけでは?しかもセキュリティ更新も本家より遅いだろうから余計にユーザーが危険に晒される」とか話されてる。

Facebook asks users to add their phone numbers for 2-factor authentication, then misuses that info to target ads. Researchers at Northeastern uncovered this by signing up as an advertiser and finding many clever tricks to reverse-engineer FB’s targeting. mislove.org/publications/P… pic.twitter.com/au5qZEGZrx

[ITmedia エンタープライズ]Slackのパスワード流出を確認、一部アカウントでリセット措置 bit.ly/2JTDNAR

[ITmedia NEWS]Slack、ユーザーの約1%のパスワードをリセット 再設定をメールで呼び掛け bit.ly/2JNsCtk

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>