- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
430 :名無しさん@十周年[sage]:2010/01/01(金) 08:15:06 ID:D90DyTEM0 - >>402
> アップローダにアップしたファイルを流出とか漏洩っていうのかな。
言うに決まってんだろ馬鹿が。
むしろこれを漏洩って言わないなら、世の中に「漏洩事件」なんてほとんどなくなるわ。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
435 :名無しさん@十周年[sage]:2010/01/01(金) 08:17:51 ID:D90DyTEM0 - >>399
> 漏洩したのはアメブロなんだから間違ってダウンロードしても逮捕までいかんだろ
まとめると
A.エクセルデータをどこかにうpる→違法性あり・・・だと思うが自身なし
B.どこかにうpられたエクセルデータをダウンロード→違法性なし
C.ダウンロードしたエクセルデータの情報を利用して、芸能人のアカウントにログイン
→不正アクセス防止法違反
ただし、「ログインに失敗」した場合はひょっとしたらセーフかもしれない。
ってところではないかな。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
445 :名無しさん@十周年[sage]:2010/01/01(金) 08:23:50 ID:D90DyTEM0 - >>437
> そもそもパスをエクセルにするってありうるの?
普通にありえる。
アメーバみたいな「芸能人御用達」ブログサービスなら、
芸能人アカウント用に管理体制があるだろうから、
ひとつのエクセルにまとめて管理するっていうのは十分ありえる話。
たとえば「管理者用パスワードなくしちゃった♪てへ☆」みたいな人にも
即時対応とかしないといけない場合ってのも多いだろうしね。
ただし、それはそのエクセルファイルがそれなりに厳重にアクセス管理されてる、
っていう前提での話。
こんなにあっさりと外部持ち出し、しかもうpろだにうpなんていう事件が発生するのは、
「うちはまったくの素人です、社長以下社員一同ITの常識も理解してません」
っていうのと同じ。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
461 :名無しさん@十周年[sage]:2010/01/01(金) 08:29:06 ID:D90DyTEM0 - >>446
> おそらくはRDBからSQLでお手軽に抜き取った結果を
> excelに貼っつけて、誰かが悪意を持って公開したのだろう。
元のエクセルデータを見れば分かるが、それはありえない。
あのエクセルの体裁からして、あれがオリジナルであり、あれが生データだ。
少なくともお前さんが言うような手順で生成されるような代物じゃあ、ない。
> しかし、パスワードを平文で管理してる時点でシロート。
これも間違い。
パスワードを平文管理すること自体はそれほど間違った方法ではない。
まさかMD5管理しろなんて話ではないよね?
もちろん、「xlsにパスワードぐらい掛けろ」っていう突っ込みはありえるが。
アメブロがひどいのは、「重要な機密データのアクセス管理体制」であり、
この手の「アカウント/パスワードを管理するマスターデータの取り扱い方」が
「社長以下、素人や2chねらにも劣るぐらいの馬鹿でーす」っていう次元だということ。
> あまりにもひどい。
ということで、ひどいのはお前さんの知識と認識だと思う。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
491 :名無しさん@十周年[sage]:2010/01/01(金) 08:39:45 ID:D90DyTEM0 - >>478
> 「社員は全員信用できる!」って言うポリシーで運用している企業はあったな。
> もぅね。
それはそれでポリシーとしてはありだと思うよ。
実際「10万円盗まれるのを防ぐのに、2000万円の金を掛けるのはばかばかしい」
というポリシーで、社員を全部信用する体制を築き上げて、それでいて
10年だか20年だかずっと収益も規模も成長してきている企業も存在する。
まあどっちの体制をとるかは企業の規模と構成員次第だとは思うけれどもね。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
497 :名無しさん@十周年[sage]:2010/01/01(金) 08:43:22 ID:D90DyTEM0 - >>486
> タイマでブログアップするのに、不正アクセスしなきゃならん。ログも残る。
> 8月の時点で、ロダのURLわかるはずもない。
> それなら、P2Pで流したほうが無難。
ここまでは同意するが
> しかも、下っ端の社員に芸能人のPASSは扱わせないと思う。
これは同意はできないなぁ。
それなりに歴史のある企業の子会社とかならともかく、
サイバーエージェントみたいな成り上がりなら普通にありえる話だと思う。
>>487
一般のブログユーザーなら
「パスワードをいったん無効にしました、新しいパスワードはk#ks9ieE8s2%4です」
なんていうことができるだろうけれども、芸能人相手にそんな対応は無理だろうなぁ。
「なにそれわかんないなんなのその意味不明な文字列覚えやすいのにしてよ」
見たいな事を言われるのが目に見えてるしね。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
512 :名無しさん@十周年[sage]:2010/01/01(金) 08:46:47 ID:D90DyTEM0 - >>504
> ソースを読めればどういう暗号化がなされてるかなんて分かるから復号化できる
おいおい一体何の冗談だそれは。釣りか?釣りだよな?
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
534 :名無しさん@十周年[sage]:2010/01/01(金) 08:53:31 ID:D90DyTEM0 - >>522
> 時間が立つと消えるアップローダーにデータ上げるのも常識じゃ考えられん
逆に「時間が経つと消える」からこそ、アップローダーを使うという考え方もありえる。
うpろだにデータを上げるのは馬鹿だが、「時間が経つと消える」場所を経由する、
という考え方そのものは、使い方によっては有効な考え方だと思う。
> 悪意ある人間による事件の可能性が高い
これはどうだろうなぁ。
ぶっちゃけ「サイバーエージェントは、社長から末端までIT業者としての意識がまったくない馬鹿だった」
だけっていう可能性のほうが高いと思うぞ。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
541 :名無しさん@十周年[sage]:2010/01/01(金) 08:57:06 ID:D90DyTEM0 - >>535
東京三菱UFJの中の人乙
・・・・っていう予想をしてみるw
>>537
>>517は「んなわけねーだろこの知ったかぶり野郎www>>>504」
って言ってるんだと思うがどうだろう。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
547 :名無しさん@十周年[sage]:2010/01/01(金) 08:59:16 ID:D90DyTEM0 - >>540
少なくとも一番最初は間違ってるとはいえないでしょ。
「芸能人専用のブログ管理」としては十分ありえる話だ。
間違ってるのは2段階目からだよ。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
564 :名無しさん@十周年[sage]:2010/01/01(金) 09:07:00 ID:D90DyTEM0 - >>544
藤田の指が何本なくなるかな・・・・っていう話になってもおかしくないレベル。
>>552
ただ単に、「URLにアクセスした人」のIPアドレス一覧が表示されるだけ。
あなたが今現在有名企業(特にマスコミ関係とか)の内部からアクセスしてるんでもない限り、
おびえる意味も必要もないよ。
このURLだけじゃなく、HTTPアクセスすれば普通にサーバーにはアクセス記録残るわけだからね。
>>553
それなりに歴史があるようなメーカー系とかの子会社ならそういうことも考えるだろうが
サイバーエージェントみたいな、「口先だけでのし上がった連中」にはそんな常識は通用しないと思う。
てか常識的にセキュリティ考えたら、多少の正月手当てをはずんでも、
「すまんが正月に常駐してくれないか」っていうことをやると思うぞ。
正月手当てとして通常の倍額の金を出しても、セキュリティリスクを減らすことを考えたら安いものだ。
|
- 【論説】 「10年前は…プログラムはテープで読み込み、20分待った。ポルノは草むらに捨ててある雑誌だけだった」…ZDNet★5
242 :名無しさん@十周年[sage]:2010/01/01(金) 13:13:17 ID:D90DyTEM0 - >>230
> x68000フォーエバー!
X68kって、今で言う「リアルタイムハードディスクビデオキャプチャ」と
「ノンリニアビデオ編集」がアマチュアレベルでも可能なマシンだったんだよな。
256x256x15fpsで、今で言うMAD動画を作ってたのが懐かしい。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい事件 / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」
979 :名無しさん@十周年[sage]:2010/01/01(金) 13:24:49 ID:D90DyTEM0 - >>970
ある時間を過ぎたら、「お年玉画像/サムネイル/お年玉画像へのURL」をセットで含んだ新年記事が
自動的にアップロードされるようなスクリプトを組んでて、
その「お年玉画像/画像へのURL」がエクセルに摩り替わったような感じではあるね。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
104 :名無しさん@十周年[sage]:2010/01/01(金) 18:23:05 ID:D90DyTEM0 - >>19
> ブログ屋ってユーザーのIDとパスをいちいち保存してるもんなのか
一般ユーザのIDとパスをいちいち保存なんかしていないだろうが、
「芸能人枠」の人間相手ならやっててもおかしくないと思うね。
本人や事務所の人の代わりに、いろいろと管理することもあるだろうし。
あと、エクセルデータを見ると一目瞭然だが
> バックアップを芸能人分だけ抽出加工してcsv→xlsか
こういう類のデータじゃなくて、もう生のオリジナルの管理用データであるのが明らか。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
108 :名無しさん@十周年[sage]:2010/01/01(金) 18:32:02 ID:D90DyTEM0 - >>29
馬鹿でもなんでもないよ。
一般ユーザー含めてすべてでそれなら馬鹿だが、
少なくとも「芸能人枠のユーザーのパスワードを平文管理する」こと自体は、
それほど間違った運用じゃない。
>>32
> パスワードって普通はDB管理者にも判らない設定なんじゃないの?
> DB管理者はパスワードの変更は可能だけど現在のパスワードは判らないのが普通
一般ユーザー相手の話ならそれは正しいし、おそらくそういう設計実装されている。
> んで、何でエクセルにIDとパスワードが保存されてるんだ?
相手が「芸能人」だからじゃないか?
本人や事務所の人の代わりにブログの管理とかをすることだってあるだろう。
コメントやトラックバック管理とかね。そういう管理を芸能人や
事務所の代わりにやることは十分ありえるし、おそらくそういうサービスをやってくれるから
芸能人はアメブロを使おう、っていう流れになってるんだと思うよ。
そういうサービス、そういうシステムであるのなら、「パスワードを平文管理」することは
むしろ当たり前の話。何しろ「平文」が読めないと話にならないわけだから。
> このエクセルを作ったのがクラッカーなのかDB管理者なのかでも責任の所在配分が変わってくる
じゃなくて、「作業担当者」「営業担当者」「芸能人枠の管理担当者」だと思うよ。
そしてこのエクセルデータは、「業務上きわめて妥当かつ合理的なもの」だったと思う。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
111 :名無しさん@十周年[sage]:2010/01/01(金) 18:36:18 ID:D90DyTEM0 - >>29
> パスワードを平文で保存してるの?
>>99
> 平文でパスワード保存してるなんていうのはありえんわw
まさかMD5とかSHA-1ハッシュから平文を戻せるとでも
思ってるんじゃなかろうなw
「芸能人や事務所の代わりにブログ管理を代行するサービス」を仮定するなら、
平文管理っていうのはそれほど間違った管理方法じゃないぞ。
問題は「データへのアクセス管理」なんだから。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
113 :名無しさん@十周年[sage]:2010/01/01(金) 18:43:08 ID:D90DyTEM0 - >>109
> 委任機能つけりゃいいのにって思う俺は馬鹿なのか
あなたのように、そういうことを簡単に言ってのけるような人には、
セキュリティとか認証とかの設計実装や運用を任せたくないのは確かだな。
んなことしたら、設計実装実践投入でまたいろいろと大穴が開くでしょ。
「それなりに上手く動いている」認証・セキュリティシステムに、
新しい機能をつけるなんてのは、あなたが考える以上の大博打なんだよ。
「認証」や「セキュリティ」周りは、とにかく「安全に」が基本。
「委任機能」とやらを付加して一般ユーザー巻き込んで大穴あけるという
リスクやそれをふさぐまでのコストははかり知れない。
それなら、「芸能人に限っては、パスワードとIDを平文管理、ただし、そのデータは厳重に管理」
というシステムのほうが、よほど安全で、確実に仕事を実行できる。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
122 :名無しさん@十周年[sage]:2010/01/01(金) 18:49:22 ID:D90DyTEM0 - >>110 >>112
さっきも書いたが、こと「認証」「権限」「セキュリティ」が絡むような話には、
「従来にない新しい機能を付加すること」は、
それこそ「この戦いが終わったら結婚するんだ」レベルの死亡フラグ。
高々100人規模の「芸能人」対応のために、全体の認証や権限設計の概念を
覆すようなシステムを作るのは自爆以外のなんでもないんですよ。
認証やセキュリティとはまったく関係のなさそうな機能ですら、
セキュリティに大穴を開けることが珍しくもなんともないんだから、
認証や権限設計、セキュリティの周りはなおいっそう慎重に、安全に、確実に、
というのが基本姿勢でしょう。
「○○機能をつければいいじゃん」とか、そういう簡単な話じゃない。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
128 :名無しさん@十周年[sage]:2010/01/01(金) 18:55:37 ID:D90DyTEM0 - >>118
まあその辺に関してはまったくの同感で、
「サイバーエージェントは、社長以下、情報管理の概念もないような馬鹿ぞろいです」
って言ってるに等しい事件であるのは確かだな。
>>121
「どんなセキュリティシステムも馬鹿と裏切り者には勝てない」、
っていう例であるのは確かだと思う。
こんなクリティカルなもの、バイトや末端にやらせるほうが間違ってて
社長自ら扱うようなものに近いと思うんだがなぁ。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
131 :名無しさん@十周年[sage]:2010/01/01(金) 19:01:24 ID:D90DyTEM0 - >>124
> セキュリティ管理を人間に任せるという設計自体が大きなセキュリティホール
これについてはまったくの同感ではあるが
> 機能追加できないなんてのは元の設計がダメなのかテスト設計ができないアホ
これについてはちょっと違うと思うぞ。少なくとも、認証や権限が絡むようなところに関しては。
むしろ「どれだけガチガチに縛れるか」がポイントになりそうだし。
>>125
「xls管理するなら、AES文字列を書き込んでおいて、使うときは手で複合しとけ」、
っていう話ならまだありだとは思うけどね。
あ、委任機能やら何やらがないとかいうのは俺の勝手な想像なので。
さすがに委任機能やら別途管理IDシステムがあるのにエクセル管理するようなことは
いくらなんでもありえないだろう、という発想。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
136 :名無しさん@十周年[sage]:2010/01/01(金) 19:04:25 ID:D90DyTEM0 - >>130
> システム会社の社長が1ユーザー単位のパスワード平文管理をするシステムがこの世のどこかにあるんだって?
だれも一般ユーザー相手の話はしてないってば。
ある種の「特別待遇のお客様」なんだから、そいつらぐらいは
相当上の人間が直接やってもおかしくなかろうと。
まあ社長とかってのは言葉のあやというか勢いなので取り下げる。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
147 :名無しさん@十周年[sage]:2010/01/01(金) 19:33:24 ID:D90DyTEM0 - >>146
> メモ帳的に使ってるファイルが社内でも他人に渡るってなくね?
> そうなると、犯人はこの人を恨んでる社員もしくは元社員で、このファイルを隙を狙ってコピーした盗った
ファイルの最終更新日時が2009年8月なんだっけか。
「バックアップから掘り出しました」とか「破棄される予定のメディアから掘り出しました」
っていうのがあからさまだよな。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
151 :名無しさん@十周年[sage]:2010/01/01(金) 19:44:50 ID:D90DyTEM0 - >>149
もちろん全体的なシステムはデータベース管理で、
エクセルどころか平文管理すらされてないと思うよ。
ただアメーバの場合は「芸能人/有名人専用サービス」ってことで、
ブログの管理(炎上対策とかSPAMコメントやSPAMトラックバックの管理とか)を
サイバーエージェントが本人や事務所の代わりに代行してやるサービスをやってたんだと思う。
「何かとお忙しい芸能人様や事務所担当者様の代わりに、
サイバーエージェントの専門担当がブログの管理などを承ります」
みたいな。そういう営業部門の資料がこのエクセルファイルだと思う。
簡単に言うと、サイバーエージェントの中の人が、芸能人や有名人の代わりに
本人のID/Passでログインしていろいろな管理をするっていうサービス。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
154 :名無しさん@十周年[sage]:2010/01/01(金) 19:48:37 ID:D90DyTEM0 - >>152
> 自分で2ちゃんにさらしたとして、
を前提とするなら、逮捕もされないし不正アクセス防止法には引っかからないはず。
まあヤフーの利用規約云々はまた別の話として。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
158 :名無しさん@十周年[sage]:2010/01/01(金) 19:58:19 ID:D90DyTEM0 - >>155
うわw
正月+本社引越しのさなかの騒ぎかw
不幸というかなんと言うか・・・明らかに狙ってる感がバリバリだな
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
201 :名無しさん@十周年[sage]:2010/01/01(金) 21:31:20 ID:D90DyTEM0 - >>189
> ん?不正アクセスってのはお年玉のリンク先変えられたことじゃね?
違うでしょ。
不正アクセスってのは「漏洩したxlsの情報を元に、他人がログインを試みた」ことをさしてる。
順序としては「エクセルファイルの漏洩」が先で、そのエクセルファイルの漏洩も
非常にずさんな管理に由来する話。
はっきりいって、サイバーエージェントの今回の発表は「虚偽」に近いレベルといえるほど
「経緯をごまかす悪質な発表」だと思う。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
203 :名無しさん@十周年[sage]:2010/01/01(金) 21:36:02 ID:D90DyTEM0 - >>196
> こうじゃなくて最初からうpロダのリンクになってたんでしょ?
そう。藤本美貴のブログのソースの魚拓から引用すると
<center><a href="http://www.dotup.org/uploda/(略).xls"><img border="0" src="/contents/030/827/242.mime1" alt="アメーバよりお年玉 powered by アメブロ" /></a></center>
っていう状態。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」 ★2
53 :名無しさん@十周年[sage]:2010/01/01(金) 21:41:17 ID:D90DyTEM0 - >>51
> 不正アクセスでエクセルファイルが流出したんだったのか。
んなこたーない。
> てっきりサイバーエージェントの社員がミスで流出させたのかと思ったよ。
こっちが正解でしょ。
藤本美貴ブログのソース読めば、不正アクセスでエクセルファイルが流出したんじゃないことぐらい明らか。
|
- 【流出】『アメーバブログ』で前代未聞の情報漏えい / 芸能人ブログのパスワード流出で芸能人ショックを受ける「ただいま対応中」 ★2
55 :名無しさん@十周年[sage]:2010/01/01(金) 21:44:17 ID:D90DyTEM0 - ちなみに、「藤本美貴ブログ」の魚拓からの抜粋
------------------------
<div class="contents">
<div class="subContents">
<!-- google_ad_section_start(name=s1, weight=.9) -->
<br /><center><a href="http://www.dotup.org/uploda/XXXXXX.xls"><img border="0" src="/contents/030/827/242.mime1" alt="アメーバよりお年玉 powered by アメブロ" /></a></center><br />
<!-- google_ad_section_end(name=s1) -->
-----------------------
どう見てもサイバーエージェントの社員のミスとかのレベルで、
不正アクセス云々は「後付の責任転嫁」でしかないわけだが。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
210 :名無しさん@十周年[sage]:2010/01/01(金) 21:49:06 ID:D90DyTEM0 - >>207
> PDFを見る限りだと、サイバーエージェントが指摘している不正アクセスは
> 不正にアクセスしてブログを書き換えたことをさしてるように思うけど。
違うと思うよ。そういうことが確認できたならそう書くでしょう。
サイバーエージェントの「書いている」不正アクセスは、
「エクセルファイルによって漏洩したIDとパスワードでログインされた」ことを指すが、
サイバーエージェントが「誤読させようと意図している」不正アクセスは、
「謎の経路から流出したエクセルファイルによって、不正にブログを書き換えられた」ということだと思う。
言い換えるなら、
「まず、自分のところの重大なミスによってエクセルファイルが漏洩した事実から何とか目をそらせるために、
【重大なミスによって漏洩した事後の結果】である不正アクセスが、
その漏洩の根本原因であるかのように、誤読させようとしている」
ということ。だから俺は「虚偽発表に近い」と考えてる。
はっきりいって、「サイバーエージェントは意図的に経緯や内容をごまかしている」って言うことを、
芸能事務所にアドバイス的にメールしてやる必要があると思うよこれ。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
217 :名無しさん@十周年[sage]:2010/01/01(金) 21:54:41 ID:D90DyTEM0 - >>214
「エクセル管理やテキストファイル管理するなら、せめて平文そのまま書くのではなくて、
パスワードをAESに掛けた文字列を記載して、使うときにはいちいち復号するぐらいのことをしろ」
っていう意味で言ってるんなら俺もまあそれはありだとは思うが、
>>209が言ってるのはそういうことじゃなくて
芸能人ブログのような、「一部の特別なお客様向けの管理代行サービス」の枠内で
特別の客についてはID/Passをエクセルで別管理すること自体はそれほど的外れじゃない、
ってことを言いたいんだと思うが。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
220 :名無しさん@十周年[sage]:2010/01/01(金) 21:59:11 ID:D90DyTEM0 - >>218
> 普通パスワードの再発行じゃないの
> 管理者自体もユーザのパスワードを知らないのが一般的
そりゃそこらの一般ユーザー相手の話でしょうよ。
そこらの一般ユーザー相手なら、そういう常識的な対応ぐらいやってるでしょ。
今回は「芸能人相手に、ブログ管理代行サービス」をやってる枠の話、
どちらかというと「技術部門」ではなく「営業部門」のポカなんだから
問い合わせなどの話はもちろん、自身の作業の時にも使用するデータなんだろう。
再発行って言ったって、「じゃあ新しいパスワードはjf#ks&!skですので、もし必要なら再設定してください」
ってそんな対応芸能人相手にはやらないだろ。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
228 :名無しさん@十周年[sage]:2010/01/01(金) 22:09:11 ID:D90DyTEM0 - >>222
> そういう場合は管理者用に別パスワード用意するんじゃないの?
> 芸能人と同じパスにしてるからこんなことが起きたわけで。
芸能人と同じパスにしている、じゃなくて、「芸能人のID/パスを使って代行してる」だと思うが。
つまり、通常の常識的な「ユーザーIDとブログ管理権限が1:1で対応している」ような
枯れたブログシステムがあり、その上で「芸能人向けの営業」として、
「忙しい芸能人の皆さんの代わりに、サイバーエージェントの専門部隊が管理を代行します、
芸能人の皆さんは、記事の投稿に集中していただき、その他の煩雑で面倒なことは
サイバーエージェントが代行します」
サービスがあって、そのサービスを実行するに当たり、芸能人のアカウントやパスワードを
サイバーエージェントも利用する、っていう手法をやっていたんでしょう。
結果論としてはともかく、ブログシステムの管理権限とか認証とかそのあたりの機能に手を入れたら
どんだけ大穴が開くか分かったもんじゃないんだから。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
232 :名無しさん@十周年[sage]:2010/01/01(金) 22:13:53 ID:D90DyTEM0 - >>225
> つーかさ、このexcelファイルは誰が作ったの?
サイバーエージェントの中の人。
> 内部犯行だとした場合、元はexcelファイル管理ではなかったものを、
> excelに落とし込み、それを公開したということも考えられるわけだけど、
実際のxlsを見ると分かるが、その可能性はきわめて低い。
それなりに書式や体裁が整えられていたり、その他各ユーザーごとの進捗状況なども
記載されていたり、年月日ごとにシートが分けられていたりするなど、
漏洩したxlsがド本命のオリジナルでマスターであった可能性が非常に高い。
タイムスタンプが古いのはまた別の話として。
> もし、実際もexcel管理してたというなら、さすがにファイルにパスワード
> ぐらい設定しているような気もするんだけど。
それは同感だな。
「元ファイルを取られたら、いつかはパスが破られる」わけだけれど、
パスが破られるまでの時間稼ぎにはなるわけだし。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
234 :名無しさん@十周年[sage]:2010/01/01(金) 22:18:38 ID:D90DyTEM0 - >>229
多分「時間が経てば自然に流れて消える」って発想だったんだろうな。
そんならファイル転送サービス使えよ、っていう話だが、そういうサービスの存在すら知らないのかも。
>>231
それはあくまで結果論でしょう。
「権限管理システムや認証システムなどに手を入れて」、それが今回よりもヤバいことになる
可能性だってあるわけ。なにしろ管理権限システムに手を入れてそれが暴発したら、
芸能人どころか一般ユーザーやサイバーエージェントのほかのサービスまで
リスクが発生する可能性が高いんだから。
安定して動いているシステムがあるなら、そのシステムをなるべくいじらないってのは
それそのものは非常に合理的な鉄則だと思うよ。
|
- 【流出】深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説
248 :名無しさん@十周年[sage]:2010/01/01(金) 22:41:52 ID:D90DyTEM0 - >>238
その辺は考え方次第だとは思うんだけど、
管理者権限って、ブログシステムそのものの管理者権限のことをいうなら
そのほうが普通に考えて危ないと思う。
芸能人のID/PWを代行管理なら、万一事故や漏洩があっても
直接的な被害は局地的な影響ですむし。
|