URL

「「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど」のグラフ

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなどhttp://hatena.g.hatena.ne.jp/hatenabookmark/20091001/1254363804
月のグラフ

コメント

(2010/09/06 16:08:49 更新)
  • ドコモ携帯ではてブを使うときの不具合。解決済みだが怖い。:j36722010-08-16 02:21:03
  • 「認証キー」っていう単語が出てきているけど、これってセッション情報の事かな。「セッションキーを認証に使った」というよりは、もっと単純なミスのような気もする。:no_ri2009-10-19 16:18:06
  • モバツイのログイン方法が変更されてたんだが、元を辿るとここに来るんだろうか。:Ohgyoku2009-10-14 09:34:39
  • ほうほう:umiusi452009-10-07 23:40:10
  • はてなはいつまで経っても学ばないという点において本当に残念:mi1kman2009-10-07 08:15:50
  • 今頃事態を知った,そういうこともあるものか,つかよりによってguldeen氏がやられたのか:star_1232009-10-05 20:47:24
  • なんかはてながやらかしたらしい。:lilokachi2009-10-05 13:37:04
  • docomoユーザーだけど今知った(おい)。幸い被害は確認できなかったけどかなり怖い。:threelarge2009-10-05 01:41:18
  • はてなとdocomoが原因だったのか。:bearide2009-10-04 20:58:11
  • HTTPなんてクソを使ってるのが間違い。ステートフルなものを使うことこそ最適解(キリッ:kizi2009-10-04 15:38:57
  • 「『はてなブックマーク モバイル版』の脆弱性を利用した不正アクセスに関するご報告」→ユーザーの報告にあわせ「脆弱性を利用したブックマークコメントの不正な改ざんに関する報告」と記すべき,と個人的には。:joho_triangle2009-10-04 09:43:19
  • guldeenのid乗っ取り事件の詳細:highcampus2009-10-04 06:28:11
  • 興味深い。:iishun2009-10-03 16:06:36
  • コメント欄でnaoya氏の回答があるけど、データ改ざんは不正アクセス禁止法に規定する「不正アクセス行為」だろうか?:shiranui2009-10-03 13:13:38
  • セキュリティの重要性。:lefthanded2009-10-03 11:24:55
  • 単なるバグ? 悪意と知識さえあれば「不正アクセス」できるものだったの? >悪意有るユーザーが別のアカウントになりすまし、該当ユーザーの各サービスのデータを改ざんできる状態となっておりました。:itochan2009-10-03 11:11:42
  • 「キャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキーが、本来キャッシュされるべきでないところでキャッシュされていた」:tsupo2009-10-02 19:32:45
  • guldeenさんのブクマ改竄の件。警察に届けたってことは、これどのidが改竄したのかわかる可能性あるわけだな。誰だったんだろう?携帯からで起こる脆弱性だからほぼ特定可能だよね。:stealthinu2009-10-02 18:56:02
  • 犯人つかまれ.:oryzivora2009-10-02 17:51:28
  • 脆弱性が原因だったのか。ブコメの改ざんのみが不正アクセス行為にあたるのか、それとも電子計算機損壊等業務妨害にあたるのか。どうなんだろう。:frsatti2009-10-02 17:33:18
  • 本不具合が原因で意図せず他のユーザーのセッションを引き継いでしまっただけでは、もちろん不正アクセス禁止法には該当いたしません。今回は、本不具合を利用して悪意あるデータの改竄が行われております。:tinsep192009-10-02 15:34:55
  • まさか「DoCoMo」に統一されるとは思わなかった。治ったけど。:YAK2009-10-02 14:07:31
  • もっと頑張れ、はてな!:shg2009-10-02 13:49:52
  • URLにセッションIDを埋め込む仕様である以上当然起こりうる/以前ユーザーIDをstatic変数で実装していた新人を思い出した。(当然コードレビューで弾かれたが):bb_river2009-10-02 13:06:36
  • HiromitsuTakagiはまだですか?:ardarim2009-10-02 13:03:28
  • 昨日、モバイル版を開いたらログインが切れていたのは…コレ関連?それとも単にセッションのタイムアウト?パッと見た限り、改変された個所は無さそうではあるが…(((゚Д゚;))):ZeroFour2009-10-02 12:45:56
  • guldeenさんのはてぶのっとり事件の原因:uxoru2009-10-02 12:45:50
  • DoCoMoはいつも困った子。/セッションハイジャックな?悪意が無くても一般ユーザがかかっちゃうから怖いよね。:d-grinder2009-10-02 12:29:01
  • <今後、社内の開発体制をあらためて見直し、コードレビュー、チェックの徹底といったセキュリティ対策を強化いたします。> はてなのコードレビューってどうやってんだろう、という開発現場の人間としての好奇心。:ymScott2009-10-02 12:24:10
  • あー、俺もアクセスしてたかもしれない。被害無かったから問題ないけど / はてながキチンと公式見解だしてくれたので安心した / guldeen氏を荒らしてたヤツは今頃ちんこもげてんのかなw:MAXjeep2009-10-02 12:13:51
  • モバイルか・・・/はてぶけっこう不具合多いよね、あんまり信用しないことにする:white_rose2009-10-02 12:05:35
  • モバイル版がもげた話。:noitseuq2009-10-02 11:47:27
  • キャッシュにセッションIDが残る系か。:Nagise2009-10-02 11:28:48
  • あー、やっぱり脆弱性あったんだ。/ 不正アクセス禁止法違反に当たるのかは疑問だなあ。:Lhankor_Mhy2009-10-02 11:11:00
  • ブコメと記事をまとめると「セッションごとキャッシュする仕様でした。それを踏んだあなたは犯罪者です」ということらしい。あほか:inarin2009-10-02 10:44:33
  • まさか罠踏んだ人タイーホとはならんと思うけど、自白させられたらダメかもしれない。:jtw2009-10-02 10:26:03
  • あー、cookie使えないドコモのウンコ仕様ケータイ対策の漏れか、気をつけよ:paulownia2009-10-02 10:12:40
  • guldeenさんを貶めた奴の手首に金具がつくわけですねw:anigoka2009-10-02 10:02:02
  • 最愛のウェブサービスで起きた事件であり、大変残念。"本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。"+:watanabefree2009-10-02 08:27:16
  • 自分とこで使っているセッションidを消さなかったのか。http://todo.oboetel.com/のノウハウをまとめると言いつつ何もしてないからな。いつになったら続きを書くのだろうか、オレ/d:id:hatenamobile:20090528 ここら辺の改修時の問題:ya--mada2009-10-02 07:28:45
  • まぁ原因が分かって何よりですね。:mi2_music2009-10-02 07:23:04
  • キャッシュするべきでない所もキャッシュしてた話/Sesskeyはuuidでも良いような希ガス:at_yasu2009-10-02 06:27:44
  • また日本の Web 開発者は退化してるとか言われちゃうゾ。:fusionstar2009-10-02 05:33:02
  • はてなブックマークの一部ページで DoCoMo 端末向けのセッションキーが意図せず第三者に知られてしまう状態になっていたkasane_yuuhi2009-10-02 05:09:57
  • 1. DoCoMoは旧表記だからdocomoに直すべき | 2.これって悪意があって改ざんしたんじゃなくて「いつの間にか他の人のアカウントでログインしてた」という状況なんじゃ?(斜め読みで把握できてない:totttte2009-10-02 03:57:02
  • 今北産業。:t-murachi2009-10-02 03:51:03
  • セッションをGETのクエリパラメータで管理している事に起因する不具合。パスワードクラックではないのか。でも携帯端末なら直ぐに犯人割れるね。↓悪意の投稿しておいて善意の第三者な訳ないだろう。:sauvage2009-10-02 03:15:00
  • これ不正アクセスに該当するのかなほんとに。他人の生成したセッションキー付きリンクを踏んだだけで「利用の制限を免れることができる情報又は指令を入力」したことになるんだろうか?:rna2009-10-02 01:34:02
  • 例の2件は単なる誤ログインだけではなく、コメントを悪意のある内容に書き換えてるんだから罪は免れないだろうな。:sagonohashi2009-10-02 01:03:48
  • セッションキーのキャッシュ:lepton92009-10-02 00:59:03
  • 脆弱性のレポートを書くときに真似しよう。:fuktommy2009-10-02 00:42:40
  • なんで俺はサイバーノーガード戦法という言葉を思い出しているのだろうか:bunoum2009-10-02 00:17:37
  • guldeenさんの件ね。なんか「地雷を仕掛けたヤツより、うっかり踏ん付けちゃったヤツが悪い」みたいな印象を受けるんだが…。:ones-inch2009-10-02 00:16:03
  • "DoCoMo 端末でログインした状態で /entrymobile を閲覧した際、キャッシュの有効期限が切れていると、mgw.hatena.ne.jp へのリンクにそのユーザーのセッションキーを含んだ状態でコンテンツがキャッシュされ〜":takunama2009-10-02 00:04:48
  • guldeenさんの件。やっぱり脆弱性か:JORG2009-10-01 23:57:25
  • アクセス管理者から誤って付与された他人の認証をそのまま通常の方法で使用するのは不正アクセスなのだろうか。情報は保護されないから改竄の有無は関係しないはず。電子計算機損壊等業務妨害?:yotaroy2009-10-01 23:27:47
  • 2008/06/05にid:guldeenははてブでドコモ客である旨告白している。http://tinyurl.com/y9muoqg 事件の犯人とはてな社に責任があるが、guldeenが不用意にプライバシーを書かなければ防げたかもしれない事態:I112009-10-01 23:08:45
  • なんちゅーか、事細かに原因と対策が書いてあると安心感が生まれるんだな。俺もユーザーにそうしなければ。:mad-capone2009-10-01 22:41:44
  • セッションキーってなに???何で不具合起きたかもよく分からん。むずかしー><:umaaaa2009-10-01 22:36:12
  • docomoのみかー。セッションは機種限定とかしないと危ないのね…。自分もまだリファラ漏洩機種だから気をつけようっと(W21T http://k-tai.impress.co.jp/cda/article/news_toppage/26929.html)。主にもばついとかなぁ(´ω`):tailtame2009-10-01 22:20:04
  • セッションIDごとキャッシュしてしまった:korn_freak2009-10-01 22:18:23
  • これが原因だったのか。:nano_0012009-10-01 22:08:42
  • 一部ユーザのブックマークコメントが改ざんされた事件の報告。キャッシュ制御の処理に不備があり、docomo端末を利用時のみ与えられるセッションキーが原因で不正アクセスが発生した。:adsty2009-10-01 21:38:09
  • 再度ブクマ。はてなのサービスはお世話になっている部分が多いし有用なのでユーザーの連携で対処と思うけど技術者たちのコメントをみるにその段階ではないと再考。専門外なので今後書かれるであろう指摘・批評を待つ:BEW2009-10-01 21:36:33
  • なるほど。語彙が若いって言うか、属性を帯びてるわけね。が、メッセージがよい気もするけど。:hiroomi2009-10-01 21:29:49
  • 先日の「ブクマ改竄事件」のてんまつ。思い起こせば、たしかにドコモ携帯からのアクセスを俺もしておりました/mobileでの処理は、一定時間以上の無通信状態が、通信終了なのか中断なのかが分かりづらいてのはあるか。:guldeen2009-10-01 21:18:57
  • セッションハイジャック攻撃が不正アクセス禁止法でどう扱われるのでしょうか。前に逐条読みましたが、Webアプリはどうなるのだろうと悩みました。高木浩光さんの考察http://takagi-hiromitsu.jp/diary/20060520.html:migimigi2009-10-01 20:37:10
  • せっかくdocomo表記に統一したらと指摘をうけたのに何故かDoCoMoに統一。はてなのアカウントだったら別アカウントになっちゃいますよ。/ あ、直ってる。おつかれ。:yetanother2009-10-01 20:07:59
  • たまたまエントリーページを見た後に他人扱いになっったからいたずらしてみた、って感じなのか。/前に「ネカフェでmixiみたら前のユーザーがログインしっぱなしだったから書き換えた」てのがあったけど:ghostbass2009-10-01 20:03:10
  • 高木先生がアップを始めました。:CAX2009-10-01 19:56:09
  • もーっ、ばい(参)るわー:jt_noSke2009-10-01 19:54:46
  • mgw=携帯向けに変換するやつのキャッシュにセッションキー情報も残しちゃってたとのこと。 http://mgw.hatena.ne.jp/ はPCでも閲覧可能。「他の情報を照合するなどしてそのセッションは本人にのみ有効とし」んー。:katzchang2009-10-01 19:49:02
  • 結局、不正アクセス禁止法に該当するのはどこまで(改竄時点?アクセスした時点?)かが不明。/ところで「ポケットはてな」が利用可能⇒「Myはてな」ユーザ設定でメルアド改竄+パスワード再発行は大丈夫…?:daichan3302009-10-01 19:48:58
  • 脆弱性あったのはもう良いとして、この書き方は本当に酷すぎる。セッション付きURL踏んじゃったユーザを悪意の第三者扱いにしている。はじめて本気ではてなにムカついた。ふざけんな。| 魚拓 http://bit.ly/wN2A2:mrmt2009-10-01 19:18:26
  • はてなのせいなのか、ケータイのせいなのか。はてなの方がちょっと悪そうだけど。:daruyanagi2009-10-01 19:03:29
  • ブックマーク改ざんの件に関して。はてな側の脆弱性が原因の可能性/docomoではてブモバイルたまに使うけど大丈夫かな。過去のブクマ改ざんされてたら気付けないからなあ…。:chroju2009-10-01 18:56:12
  • 先日のアレの件かな。:mitsuki_engawa2009-10-01 18:43:19
  • 先日のブコメ改竄の原因ははてブの脆弱性だったと。;以前にもこんなのなかったっけ?:Bookmarker2009-10-01 18:18:20
  • 犯人が逮捕される事を期待 ここは無く子も黙る京都府警の出番ですかね。-> http://sankei.jp.msn.com/affairs/crime/091001/crm0910010757007-n1.htm:pitworks2009-10-01 18:18:18
  • 運営の手落ちのせいで意図せず他人のアカウントにログインしてしまったあげく、これまた意図せずにそのまま各種サービスを利用してしまったユーザが居たとしたらそれも犯罪者扱いですか?虫が良すぎませんか?:x-osk2009-10-01 18:06:21
  • guldeen氏の件か:gyaam2009-10-01 18:01:15
  • ガルさんの件/つか普通にリンク踏んだだけで不正アクセスなん?:K-Ono2009-10-01 17:11:34
  • DoCoMo(の以前の機種)がCookie非対応だからセッションIDをURLに含めててそれのリファラー漏れ回避にmgwなんちゃらをかましててそのリンクURLがキャッシュに残ってたて感じですかね。URLにセッションID入れるの怖いよねぇ。:nihen2009-10-01 16:04:39
  • セッションIDのみの認証なんてありえない。そもそもセッションIDは認証に使うべきではない。せめて各種完了処理のときくらいはUID(NULLGWDOCOMO)もしくはFOMAカードor端末の製造番号(icc~、ser~)を使って認証しましょう:into_the_blue2009-10-01 15:47:59
  • 2009年5月28日~2009年9月28日の間にDoCoMoの携帯端末から「はてなブックマーク モバイル版」にアクセスし、ログインした状態でエントリーページをご覧になった方」範囲広すぎ。:Gakkuri-Kanabun_092009-10-01 15:34:02
  • それはそうとはてなさん。モバイルに設定変更して以降、一度たりとも連絡メールすら頂けませんよ―…:neko16k2009-10-01 15:27:18
  • 一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました:duaf2009-10-01 15:14:55
  • guldeen氏のはてブがのっとられたのは,はてな側の問題だったのか。:t-tanaka2009-10-01 15:10:00
  • これがguldeen氏がやられた原因か。:temtex2009-10-01 15:07:14
  • 犯人は猫じゃなかった。:kanimaster2009-10-01 15:06:07
  • 「本件は、不正アクセス禁止法違反等に該当します」と、全力で断言してしまっていますが……。そもそも、故意にセッションハイジャックができたという話ではないように読めましたが、そうではない?:MinazukiBakera2009-10-01 15:06:02
  • 被害者が二人という時点でユーザー側のミスではないとは思ってたけど、モバイル版が発端だったのか:snow1132009-10-01 14:57:28
  • キャッシュ制御で穴空いていたのか。うーん。:chroQ2009-10-01 14:45:40
  • ふむふむ:setoazusa2009-10-01 14:34:46
  • この脆弱性は、はてなブックマークの一部ページで DoCoMo 端末向けのセッションキーが意図せず第三者に知られてしまう状態になっていたもので、同じく DoCoMo 端末でこのセッションキーつきのリンクを辿った場合に、本人:knack2009-10-01 14:34:28
  • ドコモ携帯端末のセキュリティが弱いことがよーく分かったw:tanacc2009-10-01 14:32:13
  • 知らぬ間にエロ画像ブクマしてくれるから重宝してたのに…。:kaitoster2009-10-01 14:27:04
  • これ某所でもあったなぁ~。:daikix2009-10-01 14:12:51
  • 条件に該当する人はとりあえず不安。「被害にあったのかあってないのかよくわからない人・(今後大丈夫でも)該当日に何かが漏れた可能性のある人」はそのまま使っていて大丈夫なのか明記しておいてくれると親切かも?:Hamachiya22009-10-01 14:02:12
  • DoCoMoが悪い:ikasamaH2009-10-01 13:49:00
  • 念のため携帯用のアドレスを消した。新しいドコモの端末はiモードでもやっとCookie覚えたので端末情報は使わないようにしていった方がいいのかな。:sekiryo2009-10-01 13:47:06
  • うわぁ・・・/追記〜「また、今後の進捗につきましても随時告知をさせていただきます。」お願いします。:llil2009-10-01 13:46:04
  • ケータイサイトの脆弱性を悪用した初の公開事案かと思ったけど、事故+悪用という感じですか。でも、これは貴重な情報。情報公開にふみきったはての英断に感謝:ockeghem2009-10-01 13:36:31
  • このエントリーを思い出した。高木先生にdisってもらおうw http://takagi-hiromitsu.jp/diary/20090802.html 他には、これ http://d.hatena.ne.jp/ockeghem/20090714/p1:kazuki-aranami2009-10-01 13:34:47
  • 僕のブクマにエッチなサイトがあったのはそういうことかっ!!auだけど:pycol2009-10-01 13:32:10
  • キャッシュ実装により他人のセッションキーがついたURL が表示される場合があった。DoCoMo の場合Cookie(or imode id 対応が遅れたため?)セッション付きURL を使っていた。セッションキーが漏れても他人ログインできないよう対応:LukeSilvia2009-10-01 13:27:50
  • セッションキー以外の情報って何? UIDくらいしか思いつかない。参考のために教えて!:najeira2009-10-01 13:23:34
  • sid。:syulin2009-10-01 13:14:37
  • ホントによかったですねー、guldeen氏:kisiritooru2009-10-01 13:03:12
  • 「本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。」//「DoCoMo端末の認証のセキュアレベル自体を向上し」←端末識別子?:hasegawayosuke2009-10-01 12:57:05
  • [g:hatena]:rosa_nera2009-10-01 12:36:11
  • 誰かを狙い撃ちにしたんでなくて、たまたま引っかかっちゃった…ということなんだろうか?むしろguldeen氏クラスのメジャーネームが釣れちゃったからやっと露見したという感じ?:shoot_c_na2009-10-01 12:22:12
  • キャッシュの設定ミスによるセッションキー漏れ / トップページとはてブエントリーページ以外にもまだミスがありそう。:gunnyori2009-10-01 12:15:17
  • 書いた覚えのない暴言コメントがたまに混じってるのはこういう事か.おかしいよね俺auなのに…:K-D-S2009-10-01 12:09:11
  • モバイル版の脆弱性と判明。:and_hyphen2009-10-01 12:08:54
  • 要は何もせずに普通に観覧しているだけなのに、気がついたら別人のアカウントにログインしていた可能性があると言うことか。モバイル版を好んでUA変えてるとかだと…どうなんだろ。まぁ素人なんでアレですが:TakamoriTarou2009-10-01 11:57:24
  • guldeen氏の件。はてな側の問題だったのか…。 / モバイル版使ってなくてよかった。:Beno2009-10-01 11:56:07
  • きちんと説明してる印象:se-mi2009-10-01 11:53:58
  • よかったスーパーハカーは居なかったんだ(棒).こゆ重要情報こそはてなトップやはてブのヘッダ下割り込みで告知すべきじゃねえの?:triggerhappysundaymorning2009-10-01 11:53:06
  • これで不正アクセスになるのか、へー。単にリンクをたどっただけなのに他人で認証が通ったって、バグに巻き込まれただけのような。他人だと気付いた上でデータを改竄したとかで犯罪になるのかな。よく知らんけど。:zorio2009-10-01 11:53:06
  • 「キャッシュ制御の処理に不備があり、DoCoMo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました」:westerndog2009-10-01 11:25:31