PLAYSTATION®Networkで不正利用 52
ストーリー by nabeshin
PCからの特殊な操作とは 部門より
PCからの特殊な操作とは 部門より
あるAnonymous Coward 曰く、
INTERNET Watchの記事によると該当者は25,500人とのこと。プレイステーションオフィシャルサイトのお知らせによると、PLAYSTATION®Network(PSN)で不正利用があったようだ。同サービスのコンテンツダウンロードサービス、
とのこと。すでに対策は完了したようではあるが、PSN利用者はパスワード変更とウォレットの残高確認などをした方がよいだろう。「PLAYSTATION®Store」において、PCからの特殊な操作により、一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。その結果不正な個人情報の閲覧およびウォレットの不正利用などが行われた可能性があります。
パスワードの再発行の処理が怪しい (スコア:4, 参考になる)
再設定の流れは…
・ID(メールアドレス)と登録した生年月日を入力
(どうやら、回数制限などはなかった模様)
↓
・リマインダー確認(いわゆる秘密の質問)
(質問は数種類あって、自分が選んだモノは画面に表示される。答えは自由入力)
↓
・仮ログイン(新しく設定されたパスワードは画面に表示される)
と言う感じで、利便性のために危険な橋を渡りすぎてしまったのではないか?
最初は、「メールアドレスをキーに生年月日の総当たりかな?」と思ったけど、
リマインダーがあるので、さすがにもうちょっと何かあったんだと思う。
アカウントを持っている人は、ログインしてみると良いと思う。
自分の設定したパスワードでログインできたら、とりあえずは大丈夫なはず。
参考:PLAYSTATION Storeに脆弱性、個人情報流出・不正な課金の可能性 [engadget.com]
参考:<追記有り>PLAYSTATION Network の脆弱性とは、「パスワードの再発行処理」かな? [rakuten.co.jp]
Re:パスワードの再発行の処理が怪しい (スコア:2, 参考になる)
・登録メールアドレスと生年月日を入力
↓
・秘密の質問に対する答えを入力(ご丁寧なことに、質問内容自体は表示される)
↓
・新パスワードを入力
途中でメールが届くなどはなく、全部ブラウザ上の操作で完結しています。
さすがにパスワード変更後はメールが来ましたが。
対策前にどんな脆弱性があったのかは知りませんが、とりあえず今の仕様についても何だかなぁという気がします。
生年月日や秘密の質問と答えを馬鹿正直に登録していると、親しい間柄の人には成りすまされちゃうかもしれません。
なお、生年月日は変更できないのが仕様(アカウント登録時にもそうでるし、FAQにも書かれている)で、
秘密の質問と答えも変更方法は不明(変更できない仕様である旨は見当たらず)です。
# こんな設計が許されてしまうようじゃ、個人的にはまだまだ色々とヤバイものが埋まってそうだと思っています。
ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)
いつもながらファミ通を頂点とするゲーム系メディアの情報統制ぶりには感心させられます。
でもImpress WatchやITmediaなどゲーム以外のカテゴリーで記事にされてしまいましたね。残念でしたwww
Re:ゲーム系ニュースサイト完全無視 (スコア:2, 参考になる)
http://www.watch.impress.co.jp/game/docs/digest/ [impress.co.jp]
INTERNETWatchのダイジェストニュースが、必要性が低いと言う理由で廃止されたけれども、本当に誰も読んでないんだorz
Re: (スコア:0)
トップページに出てこない時点でお察しください
Re:ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)
本体が何かってのは二の次で、どの分野の話題かで振り分けてるんですかね?
#ちなみに分解記事はPC Watchでした [impress.co.jp]。
Re: (スコア:0)
Re:ゲーム系ニュースサイト完全無視 (スコア:1)
少し安心した。
Re:ゲーム系ニュースサイト完全無視 (スコア:2, おもしろおかしい)
初めて直接ねぎらいの言葉もらったよ!
Re: (スコア:0)
メールアドレスが分からなければログインできないし、
身内とかフレぐらいでしょ?イタズラできるのは。
今回のケースに関しては情報公開および対策が早かったのでまぁ良しとします。
なんて言うとGK乙とか言われるのかな。
Re: (スコア:0)
入手したアドレスを片っ端から試してもいいし、話題のアマゾン新ほしいものリストを
メールアドレスで検索して、その内容からPS3ユーザかを推測して試すのもいいし。
それに「身内やフレだったら俺のパスワード勝手に変えたりウォレット使ってもいいよ」って
人はあんまりいないだろうね。
#このあいだのHPの個人情報漏洩以来、英語のspamが1.5倍くらい増えたAC
ログに SQL インジェクションでも残ってたのかな? (スコア:0)
これがスラドの真の姿? (スコア:0)
>「~可能性があることが判明いたしました。」
>「~不正利用などが行われた可能性があります。」
【関連報道】
>「現時点では、ユーザーからの被害報告は無いという。」
【スラド】
>「PLAYSTATION®Networkで不正利用」
#被害報告が(発表時点とは言え)一件も無いのに
#2chでは「オレも!」「オレも!」と大量にいる謎。
参考:あからさまな宣伝記事はウザい [srad.jp]
Re: (スコア:0)
Re: (スコア:0)
少なくとも公式発表では、不正に変更された可能性がある、だけで、不正な変更を確認した、とはありません。
Re: (スコア:0)
第三者と決め付けて判明までしてるのに?
どんだけ信者なんだ
Re:これがスラドの真の姿? (スコア:1)
それから、判明したのは、不具合の存在です。
不正利用が判明したという事じゃないです。
Re: (スコア:0)
「PCからの特殊な操作により」これは判明したんだよね
この時点で不正利用だしなぁ
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
既に被害者や不正利用を確認したって事ですかな?
凄い情報収集能力ですね、本家のSCEも把握していないのに…
Re: (スコア:0)
http://srad.jp/science/comments.pl?sid=395110&cid=1319361 [srad.jp]
ソニーのサイトって前にも・・・ (スコア:0)
たしかソニーのサイトって前にも何かの予約のページのURLが、
予約番号入れ替えるだけで他の人の情報丸見えとかいうアホな運営して
問題になってなかったっけ?
しかも番号入れ替えたアクセスを不正アクセスだとかゆってた気が・・・
#誰かソース探してください。
Re: (スコア:0)
Re: (スコア:0)
Re:ソニーのサイトって前にも・・・ (スコア:2, 参考になる)
ソースは?
SCEのソースはこれ。
購入者の個人情報が流出---プレステ2予約販売サイトで [nikkeibp.co.jp]
当時、あまりの安易さに驚愕したので、よーく覚えておりまする。
CSRFが原因か? (スコア:0)
はまちやの犯行じゃないだろうな。
この前のアマゾン騒動のトラップ行使とか立派な犯罪だろ。
「はまちちゃんかわいい」「はまちちゃんサイコー」とか言って甘やかしてる周りの奴らも同罪だぞ。
Re: (スコア:0)
むしろ今年のオリンピック開催国の人々の方が、金儲けのためには何でもするので
手加減を知らなくてやばすぎる。
Re: (スコア:0)
Twitter の dankogai のパスワードが勝手に変更されて不正書き込みされた事件でも、はまちやがたむろしてたようだが、あれは不正アクセスじゃないの?
誤誘導? (スコア:0)
え、何処にそんなこと書いてあります?
やっぱり (スコア:1)
きっとあるだろうなと思ったらやはりあったか
と、それは置いといて私もPS3チェックしておかないとね
Re: (スコア:0)
Re: (スコア:0)
不利なタレコミはなかなか採用されない。
それについて愚痴ると、「ならお前がタレこめよ、文句ばっかり言うな」と言われる始末。
もうタレこんでるっつーの。
Re:採用圧力 (スコア:1)
いったい何処にどうやってタレコミしたの?
Wiiの話題が少ないのは、タレコミしてるつもりの人が、毎回タレコミしたつもりで何か失敗してるダケだったりしてな。
Re: (スコア:0)
たとえばこんなタレコミなんて絶対採用されないぜ
http://srad.jp/firehose.pl?op=view&id=21948 [srad.jp]
Re:採用圧力 (スコア:1)
編者によってちゃんと情報が付け加えられてますけど。
結局のところ、編集者の琴線に触れるかどうかが最重要だと思う。
あとは、同じネタのタレコミが複数あれば、より詳しくわかりやすいタレコミが採用されるでしょうね。
Re: (スコア:0)
他のネタを連続で採用して
押し下げる傾向にあるね
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
当然不利な話題よりは早く採用されるでしょうね。
Re: (スコア:0)
Re: (スコア:0)
バージョンアップの話題の時に自分の書いた書き込みをもう一度客観的に考えてみ。それに今回のようにPS3陰謀論っぽい事を言っ
タレこみ圧力 (スコア:0)
このコメントの時点で未だに一件もなし
Re: (スコア:0)
任天堂関係の不具合ネタなんて (スコア:0)
採用されなかった事もあるぜ
WiiのOperaの不具合タレこんだ時は4日ぐらい放置だったし
Re: (スコア:0)
パスワード変更されてれば次回ログイン時に気づくし、ウオレットが不正利用されていればその都度利用明細メールが届くから気付く筈なんだけど。
Re: (スコア:0)
編集者も大変だね。