2019年7月26日のtwitterセキュリティクラスタ

まーだ定期的変更言ってるの、全然ひとの話聞いてないよねこの会社。
kuronekoyamato.co.jp/ytc/info/info_…
「お客さまへのお願い
お客さまには不正ログイン防止の観点から、定期的なパスワードの変更をお願いいたします。
(1)他のサービスでご利用になっているパスワードのご使用はお控えください。…」

@HiromitsuTakagi 失礼します。
私も去年の6月にパスワードの定期変更は古いのにいつまでこのポリシーのままなんですか?(意訳)と問い合わせたら
返ってきた返事が
“総務省などはパスワード変更は安易なパスワードに繋がると望ましくない旨
案内していますが、”続く

@HiromitsuTakagi “国際認証機関などでは従来通りパスワードの定期変更且つ
パスワードの複雑さを保持することがもっともよい対応であると認識しており、
まだ世界的な見解は統一されていません。”
とのお返事を頂きました。
一年たっても変更してないみたいですね…

二種類の手口が混同されとるな。偽サイトで入れてしまうのと、パスワードを破られた後SMSが来て本物サイトで確認コードを入れてしまうのがあるのだが。
twitter.com/nishinippon_sh…
「SMSから偽サイトに誘導し、ユーザー自身に「キャリア決済」に必要なIDやパスワード、暗証番号を入力させるという手口」

あ、違った。確認コードを送ってくるSMSにはリンク先がないから、後者のパターンは起きないのか。
twitter.com/HiromitsuTakag…

悪い(弱い)パスワードのパターンは、hashcat や Jorn the Ripper の実装に全部入っている。
例えば、キーボード配列にしたがう keyboard walk のパターン生成は下記。
有名な “qwerty” や “zxcvb” だけではない。そしてキーボード配列にも依存。
github.com/hashcat/kwproc… pic.twitter.com/VlROsnOw31

弱いパスワードに関しては、単語ベースで生成したのものも大変多く、その内容はユーザの言語に影響を受けている。というのが下記の研究(宣伝)。
nsl.cs.waseda.ac.jp/wp-content/upl…

“ネイティブアプリ実装時は API Key の代わりに共通鍵暗号方式による署名検証を用いてセキュリティを担保している”

ダメじゃんwww blog.feedmatic.net/201907_safety-…

「キャリア決済で不正利用されて、泣き寝入りしています」。#あなたの特命取材班 にSOSが届いた。商品やサービスの代金を、携帯電話の通信料金と合算して支払う「キャリア決済」(電話料金合算払い)について調べてみると、思わぬ落とし穴があった。
↓調査結果はこちら↓
nishinippon.co.jp/item/n/530121/

予想以上にフワッとしてるんだがこれで良いんか?

7pay「外部ID連携」の脆弱性に対するソーシャルPLUSの見解と本当の問題点 blog.feedmatic.net/201907_safety-…

なるほど。Chrome M76 (7 月末)と Firefox 69 (9 月) で Flash がデフォルト無効になるのか。Flash から WebRTC に切り替えられてない会社はお疲れさまですとしかいいようがないな … 。

モスバーガーのモスカード(通称モスPay)アプリは、メールの二段階認証なしで会員登録できた。
ログインも二段階認証なし
残高のあるアカウントにありつけたら、不正にハンバーガー食べられてしまうリスクないかな? pic.twitter.com/Qybn4jfWa7

いまだオムニ7からDMが送られてくるけどログインもパスワードリセットもできない

Macから送ったCSVにWinで余分な改行が入るという苦情を聞いて,試してみた。Apple MailはExcelのCSV(行末CRLF)をquoted-printableで送信。CRは=ODにエンコード,LFは生LFのまま。生LFはWinでCRLFに変換され,結果としてCRCRLFになる

一人の女性に向けて「淫売」「研究費着服」「夫は強姦魔」といった誹謗中傷デマをTwitterの匿名アカで繰り広げた人に対して、裁判で慰謝料200万円の支払いと謝罪文の交付が命じられたとのこと。勉強になる〜!

ツイッターでの中傷投稿への法的対応事例-ネット中傷対策
warbler.hatenablog.com/entry/2019/07/…

三井住友銀行のフィッシングサイトに使われたJPドメイン(smbcoco[.]jp)の登録情報がひどすぎる件。これで登録できるレジストリの顔が見たい。 @JPRS_official pic.twitter.com/utaX1595mV

Burp Suite Pro/Community 2.1.02 released. Burp Repeater now has a new WebSockets connection wizard letting you attach, reconnect, clone, and manually configure WebSockets connections.

releases.portswigger.net/2019/07/profes… pic.twitter.com/GkEviIZUnC

【フィッシングサイトへの誘導にご注意下さい】
検索サイトにおいてCoincheckのフィッシングサイトへ誘導を行う検索結果広告が確認されております。
当社の運営するCoincheckの正しいURLは以下の通りです。
coincheck.com

最大級のアダルト漫画海賊版サイト「ExHentai」が閉鎖へ – 無能ブログ blog.cheena.net/2328

書きかけだけど現状をまとめた。

ブロッキング議論継続の有識者たぶんカワンゴさんなんだろうけど、漫画村はたまたま逮捕できただけで同時に名前が挙がったAniTubeやmiomioの件は解決していないから必要みたいな理論で推してきそうだな。まあ間違ってはないんだけど

多くの開発者がうっかり海賊行為を働いてしまっている
bit.ly/2JTRQHH

【新着記事】7payが本当に必要だったものとは何だったのかbizcompass.jp/original/re-tr…スマホ決済7payは、サービス開始から3日でアカウントとパスワードが盗まれ不正利用された。セキュリティ問題の本質はどこにあるのか。必要なものは何だったのか。 pic.twitter.com/iLFMzsoZtS

【それってネット詐欺ですよ!】 ヒュー・ジャッックマン詐欺に注意! ファンならワンチャン狙って引っかかるかも 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 internet.watch.impress.co.jp/docs/column/dl… pic.twitter.com/35NvZNhOgg

ゲーム形式でサイバーセキュリティを学習、「セキュリティ専門家 人狼」Androidアプリ提供開始  internet.watch.impress.co.jp/docs/news/1198… pic.twitter.com/4vNmijzIKR

[ITmedia エンタープライズ]地方自治体でマルウェアの被害続出、米ルイジアナ州が非常事態を宣言 bit.ly/32PdTqo

[ITmedia PC USER]鈴木淳也の「Windowsフロントライン」:2020年、Microsoftが目指すパスワードレスの旅 bit.ly/2Z8eKAe

[ITmedia Mobile]ドコモ、フィッシングSMSについて注意喚起 bit.ly/2GxzD0m

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>