パスワードを忘れた? アカウント作成
13773453 story
SNS

Instagram、平文パスワードが含まれたURLを生成してしまう不具合 27

ストーリー by hylom
どうしてこうなった 部門より
nemui4曰く、

Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINEギズモード・ジャパンiPhone Mania)。

ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年11月21日 20時31分 (#3519346)

    パスワード入力フォームにmethod=POSTの指定がなくてJavaScriptエラーでGETメソッドで送ってしまったのではないかと推察。
    https://twitter.com/bulkneets/status/1064713445327613953 [twitter.com]

  • by Anonymous Coward on 2018年11月21日 18時07分 (#3519256)

    > ユーザーのパスワードがInstagramの親会社であるFacebookのサーバーにも保存されるという「バグ」も発見されたとのこと。

    バグかぁ、じゃあしょうがないね

  • by Anonymous Coward on 2018年11月22日 4時18分 (#3519482)

    ログイン用のユニークなアドレスがアドレスバーに表示されたっけなぁ
    SSLを経由するとはいえ、あの実装は不味いと思うなぁ

  • by Anonymous Coward on 2018年11月21日 20時16分 (#3519336)

    つまり、トレンドマイクロはパスワードも流出させたのね。

    # マイナンバーではないだけマシか。

  • by Anonymous Coward on 2018年11月21日 20時21分 (#3519340)

    金に目が瞑んで信用を捨てることを躊躇しないバグに
    いくら注ぎこんでいるのか聞いてみたいところだよ。
    「営業目的て使用します」と明言してる方が、まだ堂々としてるわ。

  • by Anonymous Coward on 2018年11月21日 23時48分 (#3519434)

    そのファイルアクセスできる人全員で覗き放題か。

    管理体制の問題でしかないと思う。
    パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、
    厳しければ平文パスワードにもアクセスできない。
    客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。
    情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。
    セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。

    • by Suzuno (48093) on 2018年11月22日 1時28分 (#3519470) 日記

      メールアドレスやログインIDとパスワードのセットというだけで、かなり価値ありそうな気がするけど。
      パスワードを複数サービスで使い回す人なんていくらでもいるし。

      親コメント
    • by Anonymous Coward on 2018年11月22日 8時54分 (#3519546)

      どう利用するかは運用?の問題なのでともかく、Instagram、Facebook ともあろう有名所が、そんな今どき初心者でもやらんようなしょーもない処理実装してるのが泣ける。

      親コメント
      • by Anonymous Coward

        その理屈はわかるけど、常々おかしいと思ってるのはパスワードの価値をやたら高く設定して騒ぐ人らが多いこと。
        パスワードはたまたまハッシュ化して保持しやすい特性を持っているが、漏洩時の問題性はほかの個人情報も同じ、どころか、
        パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
        個人情報は隔離保持されるのが最も重要な観点で、そこが守られるなら内部でのハッシュ化はある意味二の次でいい。

        そりゃまあそれをやるのが常識ではあるけど、パスワードのハッシュ化だけで満足感を得ている人に情報保護への造詣を感じられない。

        • by Anonymous Coward

          パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。

          誰もがそんなことはできないから問題になるんだろ。

          誰もがきちんと現実見てればこんな野暮な指摘も不要だが、お前みたいに現実を見ずに理想論振りかざすバカが居るのも事実なんだ、パスワードを正しく管理できないユーザーがいるのと同じようにね。

          • by Anonymous Coward

            お前も問題の本質が何もわかっていない。パスワードだろうが他の情報だろうが、そもそも漏洩させてはならないということが。

            今回漏洩したのがハッシュ化されたパスワードだからと言って、保護対象に設定していた情報が漏洩してしまったセキュリティ事故であることは何の変わりもない。
            ハッシュ化至高論者の重大な勘違いがそこにある。どういう訳か彼らはユーザーの名前よりもパスワードの方が重い情報だと考えている。
            はっきり言おう、そのユーザー個人の情報を軽視しているんだよ。パスワードを守れたならまだ恥ずかしくないとでも思っているのだろう。

            • by Anonymous Coward

              「漏洩させてはいけない」で思考停止してるからダメなんだよ。そんなのは対策でも対案でも方法でもない、ただの腐った根性論だ。
              漏洩させないでくださいって言われて漏洩させない運用ができるなら誰も苦労はない。
              だから次善の策として漏洩しても被害が少なくなる施策が要求されるのが理解できんのかね?

              それとも「現実的なコストで絶対に漏洩が発生しないシステム運用」とかできるの?
              それができるなら、こんな掲示板で管を巻いてないで、とっととそういうソリューション作れよ。AppleやGoogle、MSが霞んで見えるぐらいの圧倒的なIT企業作れるぞ。

    • by Anonymous Coward

      最初からパスワードをハッシュ化して保存しておけば、漏洩のリスクはそもそもないんだよ。
      (ハッシュの作り方が甘いと、ブルートフォースで推測される恐れはあるけど、それはまた別の話)
      保存する必要のない情報は最初から保存しない。それが原則。

      • by Anonymous Coward

        ブルートフォースじゃなくてレインボーテーブルじゃね?
        レインボーテーブルもブルートフォースの一種だと言えなくもないけど。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...