楽天である条件の下だと別のユーザーでログインできてしまう件+α in Twitter - Togetter
Twitterのつぶやきマッシュアップメディア!楽天である条件の下だと別のユーザーでログインできてしまう件+α in Twitter
http://d.hatena.ne.jp/BEW/20100115
http://d.hatena.ne.jp/BEW/20100121/1264078657
上記URLで報告した楽天の不具合について、一連の流れをまとめたリスト
by _BEW
まとめ
メニューを開く-
ぬあああああっ はてなでguldeen氏のアカウントが乗っ取られた時に続いて、今度は楽天で変な現象に遭遇してるぞ。気づいたら他人の家の中に入ってる状態かもしれん。楽天のコミュニティは知らないがスクショとってとりあえず運営に通報だなこれは… -
楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyか何かください
-
みつからない… 自分の所のシステムに不具合が出るって想定してないのか。これ以上時間を割く義理はないぞ。RT _BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyください
-
「よくある質問」とか「総合案内所」とかそんなチャチなもんじゃ断じてねえ。不具合の報告ができねえ片鱗を味わってるぜ… どうしようもないし、再現性があるかだけ確認するか。
-
うわあああああ 再現性ありまくりだ。株式会社の件以外に他の人でログインできた。これはRTしてほしい。これで俺がひとつでもこの人たちの情報にアクセスすると「アメーバ」の時みたいに脆弱性を利用した犯罪者になるわけだ。
-
楽天が被害者ヅラするパターンだと俺が犯罪者なわけだけど、俺はいままでのこういう事件の経緯知ってるからやらないよ。不具合の報告する窓口が簡単にみつからないのが腹立つ。はてなと違って勝手も違うしあまり使ってないからわからない。
-
はてなのguldeen氏などがアカウントハックされた事件では、はてなモバイルのdocomo版にログイン時に脆弱性があったんだっけ?おそらく俺がいる場所も似たような所でここからイタズラするとあっさり犯罪者になる。あたりまえだけどね
-
とりあえず、窓口情報が無いのでWhoisにある連絡先に送るのが良いかも。http://bit.ly/6QGQbe RT @_BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらRe… -
確かにこーゆー時用の窓口が見当たらないなー。 RT @_BEW: 楽天の緊急窓口はどこぞや。個人アカウントなのに普通に商売している株式会社の人としてログインした状態になってる。いま探してるけど詳しい人いたらReplyか何かください -
しまったな。RTの意図というともう連絡先もわかっていらないわけだから、これだと単になんだかわからない楽天へのマイナスイメージだけが伝わることにならないだろうか。とにかく読んでる方いましたら、もう開発本部 システム構築・運用部の部門長に伝えられたのでRTは結構です。
-
ただ楽天の不具合報告窓口がはてなやGoogleなどに比べて全くもってみつからないという問題だけは明らかで、その点が広まるのは有意義か。脆弱性探しなんてことになるのはいただけない。2ちゃんねるだと完全に祭りみたいなのになる。他の環境からも再現性があるなら最初が俺で良かったのかも
-
連絡できたのですね。よかったよかった。 RT @_BEW: しまったな。RTの意図というともう連絡先もわかっていらないわけだから、・・・(中略)・・・。とにかく読んでる方いましたら、もう開発本部 システム構築・運用部の部門長に伝えられたのでRTは結構です。
-
@yamawaki64 ご協力ありがとうございました!
-
@_BEW 直結のとこに連絡できてよかったよかった。大事にならないといいですね。
-
帰宅。楽天の件ですが、家に帰って試してみたら再現性が無くなっていたので特定の時間なんらかの理由でああなっていたのかも。ちなみに担当者には伝わったと連絡をもらいました。
-
楽天に対応していただきたいポイントは僕としてはまず不具合報告をもう少し明確にしてほしいというのと、誤魔化さないでほしいってことかな。僕がアクセスできたっぽい情報はアフィリエイトや個人商店やってる人には致命傷だと思われるので
-
おろろ? 再現性あった?! また違う人の名前でログインできちゃったよ。楽天いったいどうなってんの?
-
この楽天の脆弱性の問題はエントリーにあげて話題にした方がいいのか迷う。連絡が伝わってから5時間が経過して変わっていないのは事実なわけで俺の個人情報も脅威にさらされているかもしれない一方、話題になるとネットの悪意が集中するわけでおそらく教えなくても見つけてしまうだろうから
-
ログアウトしてもできなかったり完全に壊れてるなこれ。俺は専門家じゃないから技術的にどうイカレてるのか全然わからない。怪しい人には教えられませんけど、注目しているWEBセキュリティが分かる方いらっしゃったらReplyください。
-
再現性の条件確認してたら完全にバグッてしまった。自分のIDでログインできない。
-
丸1日経ってもガンガン別ユーザーでログインできちゃう楽天の不具合。コワス
-
楽天サポートから僕が以前から書いていた不具合について連絡が来たけど、2日経っていってきたことは僕の個人情報を入力しろとのフォームだった。これはもう駄目だと思ったので無視して脆弱性の場所を指摘した記事を書くなり別の手段を取ることにします。
-
WEBサービスの脆弱性を発見したとして、それをサポートに伝えるには当人の個人情報が必要なのだろうか?またそれを拒否するが、持続中の問題に対策をしてもらうためにそれを公に知らせてしまうのは問題を引き起こす可能性が高いが、丸2日待ってこの対応だから仕方ないと俺は判断しようと思う
-
あれ?いま気づいたけど2日前からやってる楽天の件、誤ログイン以外にさらにおかしなことがあるぞ。俺が問い合わせたアドレスと違う、楽天に登録したアドレスにサポートから返信してやがる。つまり向こうは「こいつだな」と当たりを付けてメールしてきたってことか。これは釣られた。個人情報抜かれた
-
うーーん、やるなー 楽天サポート!しらばっくれるって方法もあるけど、仕方ないからこっちも別の角度からいこう。誰もが誤ログインするわけじゃないみたいだけどバラしちゃうことにするよ。なんでセキュリティの対応をせずに「俺」を特定する方を優先したんだろう。俺を犯罪者にしたいのか?
-
Content from Twitter
みんなのおすすめ商品
商品を編集
まとめを作成する
プロフィール
マイタグ:
設定されていません。
トゥギャッター通信
コメント