2019年7月27〜28日のtwitterセキュリティクラスタ

2段階認証の意味なかった!?クロネコメンバーズの問題

2段階認証もちゃんとあった。知らんかった。設定しとこう… pic.twitter.com/sdLxbeLqr0

それスマホサイトでは聞かれないからな。「第三者がパソコンサイトから」攻撃してきた時だけ防いでくれるからな。 twitter.com/rocaz/status/1…

いきなり正面玄関から突入され3467件突破されたヤマト運輸さん。2段階認証が有効なら該当者にメールが飛びまくるはずですが、そうでもなかったようです。設定していなかったのか、それとも2段階認証が機能しないスマホ用のログインページから突入されたのか kuronekoyamato.co.jp/ytc/info/info_… pic.twitter.com/aYyyFllArT

クロネコメンバーズは、メールを使った2段階認証を提供していますが、機能するのはPC用の入り口からのログイン限定という斜め上を行く仕様で、スマホ用から入れば、PCからでもスイスイ行けます。告知で2段階認証の設定をお願いしないところを見ると、設定していても無駄だったってことでしょうかね

@HiromitsuTakagi クロネコさんちの2段階認証は、PC用の入り口(cmypage.kuronekoyamato.co.jp/portal/entrance)から入ると要求されますが、スマホ用の入り口(smp-cmypage.kuronekoyamato.co.jp/smp_portal/s/s…)から入れば不要という、まさかのトンデモ仕様みたいですね。

@NaomiSuzuki_ これマジだったわー。スマホを使う必要もなくて、Mac上のSafariからログインしても2段階認証はなしになった。cookie削除してから試すこと。
twitter.com/NaomiSuzuki_/s…

@NaomiSuzuki_ もし、この不正ログインの被害に二段階認証をしていたのに遭った人がいたならば、一大ニュース(前例のない事案)なんだけど、どうなのかな。
kuronekoyamato.co.jp/ytc/info/info_…

@HiromitsuTakagi FAQにもしっかり明記されているので、実装上のミスではなくそういう仕様のようです。
c-faq.kuronekoyamato.co.jp/app/answers/de…

クロネコヤマトの不正ログインの件、2段階認証はスマホサイトだと動作しないってあって、試してみたら本当にスマホサイトだと2段階認証無しにログインできてしまっておじさんビックリ。 https://t.co/orKxNfZzds

こ、これは…w 何をどうツッコんだらいいか頭を抱えるけど、もしかして…もしかしてだよ、たとえば会社なんかで自分が離席している間に勝手に同僚にパソコンを操作された場合なんかを想定して、いやもちろんそれだってアホ…いや待て、いくらなんでもそこまでバカじゃないよね、クロネコヤマトは? twitter.com/HiromitsuTakag…

普段使っているパソコンが乗っ取られたときや、物理的にアクセスされたときに効果があると言っている???? https://t.co/a0S81gxj9T

クロネコメンバーズが恐ろしいのは、2段階認証にしてもスマホサイトや9625.jpでは2段階認証が効いてないから無駄で、それはすでにクロネコは複数ユーザーから指摘され済で認識したうえで対処しないという方針なのでクロネコに伝えても改善されることが無い!ってところですよね。 RT

TLにヤマトのサイト二段階認証してあるから大丈夫〜みたいなツイートが流れてきてるけどスマホ版ページかログインしようとすると二段階認証が必要ないってのを知らない人はかなりいるんやろな
ワイもついこの前Twitterで初めて知ったし
二段階認証の意味とは…

そうそう「パソコンサイト」って明記するくらいだし1部しか効果ないんじゃかえって穴ありそうでリスク高いわって避けてたよ – クロネコメンバーズの二段階認証、実は無意味な飾りだった – Togetter togetter.com/li/1381019

スマホアプリには二段階認証の設定自体が無いから、使えるとは全く思ってなかった(^^;; togetter.com/li/1381019#c66…

「クロネコメンバーズの二段階認証、実は無意味な飾りだった」togetter.com/li/1381019 にコメントしました。

ただ僕は…動かない二段階認証ってやつを…一度見てみたかっただけなんですよ…

大阪人で生まれて…Amazon依存になるまえから宅急便届けまくってもらってるクロネコさんには…感謝しか無いですよ…こんなことしたいわけ…ないじゃないですか…

はてなブログに投稿しました #はてなブログ
クロネコメンバーズの不正ログインについてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/07/…

これさぁ、ヤマトがって言うか他で漏れたパスワードでアタックされたってだけでしょ?
2段階認証をちゃんとしてないからってのはあるだろうけど

悪いのは俺のアカウント漏らしたAdobeてめぇだ!

ま、パスワード使い回すのが1番ダメなんだけどね。

複雑なパス作っても、みんなすぐもらすんだから… https://t.co/DvL0hgrZDf

攻撃者はスマホ向けログイン画面を利用することで二段階認証を回避できる。脆弱性診断会社としても頭の痛い問題だ。スマホ向け画面が診断対象外だったら見逃す可能性が高い / “クロネコメンバーズの二段階認証、実は無意味な飾りだった – Togetter” htn.to/2DmaL5eZWK

ちょっと違うな。抜き取り診断の場合、限られた費用でリスクを最小化することを考えないといけない。たまたまこの件があったからといって、それだけに強く引っ張られてしまうのもおかしい

公式が2段階認証推薦しない理由を遠回しに確認。スマホでログインしたら確かに2段階認証要求されませんでした。ダメじゃんw

twitter.com/ockeghem/statu…

参考までにクロネコメンバーズでの2段階認証の説明urlと画像を貼っておきますね。

kuronekoyamato.co.jp/webservice_gui… pic.twitter.com/DAB9ikOHjQ

「飾りでもないよりはまし」と誰かが言ってそうなのは、「定期的変更にも意味がある」という例のアレと通底してるよね。つまりそういう会社のサービスはそういうものということ。
togetter.com/li/1381019

その他に気になったことはこのあたり。

100万円レベルのBlind XSSでテスラハッキング〜 (車を故障させないとエクスプロイトできないという・・ 面白いね~) samcurry.net/cracking-my-wi… #ブーブーハッキング

最近のパスワードクラッキングのベンチマーク。ご覧の通り今は最短で12文字以上のパスワードが必要だけど、そのうちそれもクラックされてしまうので、15文字以上をおすすめします。できたら25文字以上のパスフレーズ。複雑さより長さの方が重要! #パスクラ pic.twitter.com/yF0H8fmi7k

海賊版サイトを含めたサイバー犯罪対策で、やるべきことは結構あると思っていて、漫画村問題をちゃんと振り返って制度の抜け漏れを見直すいいタイミングだと思うんですよね / “海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(国際大学GLOCOM 客員研究員)” htn.to/2pmeyDp2Fx

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>