QUOIT Blog » password http://ken.quoit.jp Programming, OpenSource, HTML/CSS etc... Sat, 04 Feb 2012 17:18:36 +0000 ja hourly 1 http://wordpress.org/?v=3.3.1 パスワードの流出問題(2) http://ken.quoit.jp/2009/12/16/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c%ef%bc%88%ef%bc%92%ef%bc%89/ http://ken.quoit.jp/2009/12/16/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c%ef%bc%88%ef%bc%92%ef%bc%89/#comments Wed, 16 Dec 2009 05:22:13 +0000 yakumo http://ken.quoit.jp/?p=340

以前、パスワードの流出問題という記事を書きました。
その時の記事は私の読み間違えでした(ホントすいません)が、
やっぱり事件はまた起こってしまいました。

例によって、何か間違いやツッコミあればコメントにてお願い致します。

TechCrunch Japan
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪

読んで頂ければわかりますが、このケースは本当にひどい。
事件を隠蔽しようとした行為もひどいですが、パスワードの管理は平文で、事件が発覚した後も対処を行なっていないというお粗末ぶり。
しかも原因は簡単なSQLインジェクション脆弱性とのこと。
10年以上も前から分かっていた問題で、知らないでは済まされません。

ここからは推測ですが…

何故このような実装にしていたのか?が問題だと思います。
可能性としては…

1)システム担当者の知識が浅かった
  →話になりませんが、可能性はゼロではない?
2)パスワードを平文で保存していたほうが楽だった
  →パスワードのリマインダーメールなどをそのまま送っていたようですから、この可能性は充分にあります。
3)初めから責任をとるつもりがなかった
  →トンデモな理論ですが、このサイトのプライバシーポリシーを見ると、その可能性も否めないのが怖いところ。

以下、TechCrunch Japanの記事より、プライバシーポリシーの一文です。

Once we receive your transmission of information, RockYou! makes commercially reasonable efforts to ensure the security of our systems.
However,please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.

重要な部分を太字にしました。
「頑張るけど盗まれたりしても僕の責任じゃないよ☆」って言ってます。
乱暴の言い方ですが、このプライバシーポリシーはひどい。

システムの設計はどうなっていたのか、プライバシーポリシーは何のためにあったのか、必ず明らかにするべきです。

こんな無責任なWEBを蔓延らせないために。

]]> http://ken.quoit.jp/2009/12/16/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c%ef%bc%88%ef%bc%92%ef%bc%89/feed/ 0 パスワードの流出問題 http://ken.quoit.jp/2009/10/07/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c/ http://ken.quoit.jp/2009/10/07/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c/#comments Wed, 07 Oct 2009 03:31:39 +0000 yakumo http://ken.quoit.jp/?p=167

もういい加減に聞き飽きてきてますが、またパスワード流出があったようですね。

3万人のパスワードが流出 グーグルなどの無料メール – 47NEWS(よんななニュース)

記事によると、無料メールのパスワードが流出したとのことだが、問題はこの部分だ。

グーグルは「業界を狙った大規模なフィッシング活動があった」としており、流出したことが分かった人のパスワードを変えるなどの対策をとっている。また、流出はシステムの欠陥ではなく、詐欺行為によるものであると強調している。

ここの部分は明らかに間違い。というか見当違いの回答。

流出して何故問題になるかというと、パスワードが平文で保存されていたからだ。
もういい加減にしていただきたい。

パスワードの問題についてはこちらのブログが詳しい。
<追記>
パスワードの問題についてこちらの記事は参考になるので是非ご覧ください。

Web屋のネタ帳
パスワードについて言及した記事はこちら。
だからパスワードを平文で保存するなとあれほど

詐欺行為がどうのではなく、それ以前に回避できる危険はあるだろうに。
実に残念なニュースでした。

<追記>
ご指摘を頂いて修正しました。
フィッシング詐欺ならパスワードの問題とは別でした。失礼しました。
ただ重要なことなので記事は残しておきたいと思います。

]]> http://ken.quoit.jp/2009/10/07/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ae%e6%b5%81%e5%87%ba%e5%95%8f%e9%a1%8c/feed/ 1 「パスワード」 http://ken.quoit.jp/2009/09/03/%e3%80%8c%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%80%8d/ http://ken.quoit.jp/2009/09/03/%e3%80%8c%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%80%8d/#comments Thu, 03 Sep 2009 02:40:52 +0000 yakumo http://ken.quoit.jp/?p=79

なんでパスワードってものがあるかっていうと、
パスワードを知らない他の人に情報を見られたくないからであって、
それが誰にでもわかるようになっちゃったら意味がないという話。

当然ですね。

ってことは、パスワードを保存するログインプログラムとかを作った場合、
そのパスワードは最低限、暗号化をしておくべきだ、と。

そのほうがいいですね。

流出を前提に置くのはよろしくない?

でも、思わぬところにあった穴だからセキュリティホールと言われてるわけですよ。

自分が作ったプログラムを信用しないっていうことも重要だと思います。

結構前から拝見しているブログに、何度もこの手の記事があった。

で、またかと。

その記事はこちら。

暗号化するなんて、そこまで大掛かりな作業じゃないんだから、手を加えたらいいのに・・・

とは言え、他の作業に比べて優先度が下がってしまう現実も想像できなくはない。

各企業が本腰入れて何とかしようと思わなきゃ無理なんでしょうね。

———-

・・・先日の記事と矛盾する?

これは全く別の問題ですとも!

]]> http://ken.quoit.jp/2009/09/03/%e3%80%8c%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%80%8d/feed/ 0