Instagram、平文パスワードが含まれたURLを生成してしまう不具合 27
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
nemui4曰く、
Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINE、ギズモード・ジャパン、iPhone Mania)。
ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。
問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。
このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。
Re: どうしてこうなった 部門より (スコア:2, 興味深い)
パスワード入力フォームにmethod=POSTの指定がなくてJavaScriptエラーでGETメソッドで送ってしまったのではないかと推察。
https://twitter.com/bulkneets/status/1064713445327613953 [twitter.com]
Re: (スコア:0)
そんな90年代個人ホームページでやってたようなスカタンやるのは信じられへん。
あの辺だと超高給取りのエンジニアしかおらんやろし。
Re: どうしてこうなった 部門より (スコア:2)
簡単に復元可能な形でパスワードを保持するというスカタンやってるのに……
Re: (スコア:0)
方言が達者で
Re: (スコア:0)
あなたの勤務先の高給取りの方々を見てもそう思いますか?
Re: (スコア:0)
日本には、そんな人いませんよ?
Re: (スコア:0)
アニヲタかな?
GIGAZINEの記事は他にも凄いことが書いてある (スコア:1)
> ユーザーのパスワードがInstagramの親会社であるFacebookのサーバーにも保存されるという「バグ」も発見されたとのこと。
バグかぁ、じゃあしょうがないね
Re:GIGAZINEの記事は他にも凄いことが書いてある (スコア:1)
> ユーザーのパスワードがInstagramの親会社であるFacebookのサーバーにも保存されるという「バグ」も発見されたとのこと。
バグかぁ、じゃあしょうがないね
いわゆるインスタ蝿?
Re: (スコア:0)
インスタとFBで連携出来るし、サーバー同じなら不思議じゃない
Re:GIGAZINEの記事は他にも凄いことが書いてある (スコア:1)
なんのためのOAuthだよ
某災害メールのシステムも (スコア:1)
ログイン用のユニークなアドレスがアドレスバーに表示されたっけなぁ
SSLを経由するとはいえ、あの実装は不味いと思うなぁ
トレンドマイクロはやはり許されない。 (スコア:0)
つまり、トレンドマイクロはパスワードも流出させたのね。
# マイナンバーではないだけマシか。
インフラを傷つけていくスタイル (スコア:0)
金に目が瞑んで信用を捨てることを躊躇しないバグに
いくら注ぎこんでいるのか聞いてみたいところだよ。
「営業目的て使用します」と明言してる方が、まだ堂々としてるわ。
平文関係ない (スコア:0)
そのファイルアクセスできる人全員で覗き放題か。
管理体制の問題でしかないと思う。
パスワード平文で保持してようがいまいが、管理が甘ければ低い権限の従業員が個人データ覗けるだろうし、
厳しければ平文パスワードにもアクセスできない。
客のパスワードが分かったところで遊びでログインとかリスクまみれの行為まともな技術者ならできない。
情報売り飛ばす方がまだマシ。もちろんやるならその他の顧客情報もセットだろう。
セット売りならその他の顧客情報に比べてパスワードなんて大した価値はない…まあ使い方にはよるけど。
Re:平文関係ない (スコア:1)
メールアドレスやログインIDとパスワードのセットというだけで、かなり価値ありそうな気がするけど。
パスワードを複数サービスで使い回す人なんていくらでもいるし。
Re: (スコア:0)
たとえばどんな価値がありますかね?
Re:平文関係ない (スコア:1)
FB名簿屋ウハウハなんやろな
Re: (スコア:0)
せやろか?
Re: (スコア:0)
こうしてみるとけっこうやらかしてるな、みなさん。
個人情報漏洩事件・被害事例一覧
https://cybersecurity-jp.com/leakage-of-personal-information [cybersecurity-jp.com]
カルテまで漏洩したらそりゃ恐ろしいわな。
さらに不正アクセス先のガチ住所まで漏れたら紐付完璧やね。
Re:平文関係ない (スコア:1)
どう利用するかは運用?の問題なのでともかく、Instagram、Facebook ともあろう有名所が、そんな今どき初心者でもやらんようなしょーもない処理実装してるのが泣ける。
Re: (スコア:0)
その理屈はわかるけど、常々おかしいと思ってるのはパスワードの価値をやたら高く設定して騒ぐ人らが多いこと。
パスワードはたまたまハッシュ化して保持しやすい特性を持っているが、漏洩時の問題性はほかの個人情報も同じ、どころか、
パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
個人情報は隔離保持されるのが最も重要な観点で、そこが守られるなら内部でのハッシュ化はある意味二の次でいい。
そりゃまあそれをやるのが常識ではあるけど、パスワードのハッシュ化だけで満足感を得ている人に情報保護への造詣を感じられない。
Re: (スコア:0)
パスワードを正しく管理しているユーザーにとってはリセットさえ掛かればパスワードの漏洩なんてどうでもいいレベルですらある。
誰もがそんなことはできないから問題になるんだろ。
誰もがきちんと現実見てればこんな野暮な指摘も不要だが、お前みたいに現実を見ずに理想論振りかざすバカが居るのも事実なんだ、パスワードを正しく管理できないユーザーがいるのと同じようにね。
Re: (スコア:0)
お前も問題の本質が何もわかっていない。パスワードだろうが他の情報だろうが、そもそも漏洩させてはならないということが。
今回漏洩したのがハッシュ化されたパスワードだからと言って、保護対象に設定していた情報が漏洩してしまったセキュリティ事故であることは何の変わりもない。
ハッシュ化至高論者の重大な勘違いがそこにある。どういう訳か彼らはユーザーの名前よりもパスワードの方が重い情報だと考えている。
はっきり言おう、そのユーザー個人の情報を軽視しているんだよ。パスワードを守れたならまだ恥ずかしくないとでも思っているのだろう。
Re: (スコア:0)
「漏洩させてはいけない」で思考停止してるからダメなんだよ。そんなのは対策でも対案でも方法でもない、ただの腐った根性論だ。
漏洩させないでくださいって言われて漏洩させない運用ができるなら誰も苦労はない。
だから次善の策として漏洩しても被害が少なくなる施策が要求されるのが理解できんのかね?
それとも「現実的なコストで絶対に漏洩が発生しないシステム運用」とかできるの?
それができるなら、こんな掲示板で管を巻いてないで、とっととそういうソリューション作れよ。AppleやGoogle、MSが霞んで見えるぐらいの圧倒的なIT企業作れるぞ。
Re: (スコア:0)
最初からパスワードをハッシュ化して保存しておけば、漏洩のリスクはそもそもないんだよ。
(ハッシュの作り方が甘いと、ブルートフォースで推測される恐れはあるけど、それはまた別の話)
保存する必要のない情報は最初から保存しない。それが原則。
Re: (スコア:0)
ブルートフォースじゃなくてレインボーテーブルじゃね?
レインボーテーブルもブルートフォースの一種だと言えなくもないけど。