2019年7月25日のtwitterセキュリティクラスタ

クロネコメンバーズが不正アクセスを受けて個人情報が3000件以上漏えいしているようです

クロネコメンバーズの不正アクセスについて、自分のIDが対象になっているか簡易確認する方法です

まず通常時と同じように自分のログインページへ。

・不正ログインのあったクロネコID→パスワードを変更しなければ使用できない
・対象外のID→通常通りこれまでのパスワードで使用できる

ヤマト運輸は、再配達などを受け付ける会員制のサイト「クロネコメンバーズ」に今月22日と23日、およそ3万件の不正なアクセスがあり、3467件の名前や住所のほか、メールアドレスやクレジットカード情報などが、何者かに閲覧されたおそれがあると明らかにした。
www3.nhk.or.jp/shutoken-news/…

パスワードリスト攻撃だとはどうやって断定したのかな。入力されたパスワードをログに残すのは禁じ手だから、普通は不明なんだよね。
kuronekoyamato.co.jp/ytc/info/info_…
「クロネコメンバーズのWebサービスにおきまして、外部から「パスワードリスト攻撃※」による不正ログインがあったことが判明しました。」

入力パスワードをログに残しちゃダメというのは古くからのエンジニアの間の常識だった。そのおかげで昨今のパスワードに対する攻撃の実態が把握できていないのではないか?という話を一昨日のCSECで話したところ。もはや、使い回しが禁止となった今、この常識を変えていいのではないかと感じている。

それだけじゃ根拠にならなくて、リスト型(どこかで漏洩したもの)じゃなくて、キーボード配列パスワードを狙って来たかもしれないよ?(キーボード配列パスワードのユーザは1%前後の割合で存在し、それぞれ数百回以内のトライで破られる。)
twitter.com/bunsekiki/stat…

クロネコメンバーズのアドレス古いから変更したいのに、電話掛けないと変えられないシステムらしく、非常にめんどくて変えてない。
…から助かった!

か、どうかは分からない。
全部のパスワード見直そう。。。 twitter.com/yahoonewstopic…

クロネコメンバーズの件、公式見たら今までのパスワードで入れる場合は問題ないみたい? こういうのひどいよね。。ヤマトさん良い印象しか無いから悲しい

クロネコメンバーズ情報漏洩て…この前登録したばかりなんだけどフザケンナチッキショー

クロネコメンバーズ、結構セキュリティうるさい方だと思ってたんだけど防げないもんだね。

会社でGitHubを使うと危ないの?

便利なんですけどね。 #はてなブログ
会社でGitHubを使うとなぜ危ないのか – orangeitems’s diary
orangeitems.com/entry/2019/07/…

SIerでも普通に使うわ。というか、こんな話他では聞いたこともないわ。仕事が杜撰なら何を使ってようが危ないよ。 / “会社でGitHubを使うとなぜ危ないのか – orangeitems’s diary” htn.to/31g1voFvoU

記事はよく分からないけど、業務委託の方がまったく関係ない別のプロジェクトコードを会社リポジトリに誤ってPUSHしてきてたまげたことをふと思い出した( ´・‿・`)

会社でGitHubを使うとなぜ危ないのか – orangeitems’s diary orangeitems.com/entry/2019/07/…

GitHub 関係なく、シャドーIT やめろって話 / “会社でGitHubを使うとなぜ危ないのか – orangeitems’s diary” htn.to/fRSZKh6ArU

問題は社員のリテラシーにあって、サービス自体ではない。むしろパブリックにアップを指示した張本人を処すべき。
ソーシャルハッキングも同じ。全部、社員とか関係者のリテラシーの問題。

会社でGitHubを使うとなぜ危ないのか orangeitems.com/entry/2019/07/…

「GitHub 使いたいなー SVN とかやってらんねーよ、GitLab 好きじゃないし」→「使うのに会社の稟議通すのめんどくせーし金払いたくないから無料で立てよ」→無料プランは公開のみ(最近まで) ほぼこのパターン。 / “会社でGitHubを使うとなぜ危ないのか – orangeitems’s …” htn.to/4iDjpnjgtx

「管理システムとコード漏洩」という観点なら、
Subversion やらVSSでも同じじゃないの?
タイトルにGitHub付ける意味が解らん

orangeitems.com/entry/2019/07/…

github悪ないやろ。。。
こんなことをやらかす人にpush権限与えてるのがダメなんだよ…。
》プライベートにアップロードしていたと思っていたら、実はパブリックだった。

会社でGitHubを使うとなぜ危ないのか #SmartNews orangeitems.com/entry/2019/07/…

その他に気になったことはこのあたり。

コーナンpayの不正アクセスも問題になっていますが、dアカウントへの不正アクセスも多発しています

ご注意ください

コーナンpay(コーナンペイ)の不正アクセスまとめ cashless.style/konan-pay/

twitter.com/shimajiro/stat…

報告したCVE-2019-8670の日本語ページ来てた

Safari 12.1.2 のセキュリティコンテンツについて – support.apple.com/ja-jp/HT210355

「取引先から要求されるセキュリティのヒアリングシート/チェックリストがフォーマットや内容が異なっていて記載に無限に時間がかかる」って話、最近ありとあらゆる会社の人から聞くんだけど、ほんとまじでこれ標準化できないものなのかな。

WG1の次のテーマとしてもいいかもしれないですね。要件定義のチェックリストだけでなく、対象となるスコープを広げていくとか。

アカウントリストのスクリーニングを新規登録で行ったら、見に覚えのないアカウント発行の確認メールが飛びまくった…という類似案件だと思うのですが、リリースにはまさかのことが>コーナンPayサービス一時停止に関するお知らせ[PDF] hc-kohnan.com/corporate/wp-c… pic.twitter.com/K1fpaIo8on

未登録アドレスでログインするとアカウントを発行するってありえんでしょ>当該メールは、コーナンPay アプリにおいて、登録されていないメールアドレスを用いてログインを試みた際に自動送信されるものです。twitter.com/NaomiSuzuki_/s…

最近のWindowsの権限昇格の脆弱性は権限系の話が多いですね。この記事はとても勉強になります
posts.specterops.io/cve-2019-13382…

上島珈琲のバーコード決済アプリ(通称:上島珈琲Pay)で会員登録できないシステム障害が発生している模様。
コーナンPay不正アクセス事件でサービス停止したのが影響してるかもしれません。
ちょっと上島珈琲に問い合わせてみます。
#UCC #7Pay

オープンリダイレクトを回避する目的でリダイレクト先を制限するWebサイトは多いと思いますが、遷移先のオープンリダイレクト脆弱性を悪用されアダルトサイトの踏み台に仕立て上げる事例が確認できました。
遷移元のサイトには何の手も加えられていないことから、悪用を見抜くのが難しいケースです。 pic.twitter.com/pTuXI1qb37

【JC3】犯罪被害につながるメールが拡散中。件名は「【楽天市場】注文内容ご確認(自動配信メール)」他1件。本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報などを詐取する偽サイトです。リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma…

“リバースエンジニアリングはセキュリティリスクとなりますのでご遠慮下さい。”なにいってるのかわからない / “パスワード多すぎて覚えられない問題を解決する極小ガジェット – CAMPFIRE (キャンプファイヤー)” htn.to/2K991xyPWe

Linux kernel 5.1.17 ptrace_link in kernel/ptrace.c (CVE-2019-13272 ) classification, exploitation, inspection, patching and many other indicators powered by @vFeed_IO vulnerability intelligence pic.twitter.com/aN0nkdTv8I

CVE-2019-2107 : PoCs & exploits for the Android Out Of Bounds write remote code execution in 1 simple command-line using @vFeed_IO vulnerability intelligence

./pyvfeed.py –export CVE-2019-2107 pic.twitter.com/tBRpAPX9D5

コーナン商事のコーナンPay、セキュリティ事故でようやく存在を気づかれる
kabumatome.doorblog.jp/archives/65945…

一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明/サードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正 forest.watch.impress.co.jp/docs/news/1197… pic.twitter.com/SFIwCEDlSZ

闇サイトで対象名指しか 30億円の仮想通貨流出 bit.ly/2JQqlyM

記事をアップしました!
仏壇・仏具のECサイトでカード情報が漏えいか、セキュリティコードも流出した可能性
netshop.impress.co.jp/node/6678?utm_…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>