自動ニュース作成G
BL特化SNSで個人情報漏えい
https://twitter.com/pictBLand/status/1691382572545392640
2023-08-16 11:53:15
> pictBLand:ログインメールアドレス・ログインパスワード > pictSQUARE:ログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報
> 情報が9万円で売られてるとのこと。半数のパスワードが解読されている。 ◇
腐女子の名前と住所が売られていると。これは厳しい。
・なんでパスワードを直で保存してるの…?・#1 直ではないが、ソルト無しのMD5だってさ。パスワードが短いと総当りの力技で解読されやすい。・ピクトスクエアに関しては腐女子とか関係ないんじゃ。あとBL以外にも百合とかけもとかのSNSやってるんだよね?(そっちが漏洩してるのかどうかは知らない)・TwitterAPIのトークンも流出しているみたいでTwitterアカウントが乗っ取られて変なツイートするとか、公式サイトが北朝鮮に飛ばされるとかされてるらしい>BL特化SNS「pictBLand」・Web即売会サービス「pictSQUARE」で情報流出の可能性 運営元が不正アクセス報告https://nlab.itmedia.co.jp/nl/articles/2308/15/news156.html Togetterまとめhttps://togetter.com/li/2206093・恥ずかしい趣味のサイトに住所や口座の情報を保存してるってアホすぎるわ。そもそもセキュリティ意識の低いデジタル後進国なんだからもっと自衛しろよ。・おっ保守的な価値観で生きてるリベラルの人か?・恥ずかしいサイトに嫌いな奴を登録しておくっつうアレもあるよねぇ・#4のTogetterまとめにある、このコメントに笑ってしまった。食べログって(笑) >堕落を理解する術がBL特化SNSなの????食べログとかではなく??????????・#2 >ソルト無しのMD5< ソルトってなんだろうってぐぐってしまったわ。一応、情報セキュリティアドミニストレータを昔にとったけど、初耳だった。・へー https://qiita.com/YutaManaka/items/93444c803cf3087af2b5・むしろPerlでcgi掲示板とか作ってた昔の方が、crypt()の引数に直接salt与えなきゃいけないから意識してた印象。今はphpのpassword_hash()とかの標準関数がよしなにやってくれる・大手でもないところに個人情報投げるのはFb社長もこいつらアホかと言ってたくらいなので考えもの・#2 パスワードにいちいち総当たりなんてしない。パスワードとして使える文字列を先に用意(*)して、それにMD5をかけた辞書を作っておいて、逆引きするだけ。用意ってのは0-9A-Za-zに記号を含めた、1バイトから十数バイトの連続した値や、単語の組み合わせ。なので辞書を作りづらいように長いランダムなパスワードを使うのが主流・ついでに書くと、今どきは単にソルト+ハッシュで圧縮するだけでなく、ストレッチングとペッパーも使う。ストレッチングはハッシュを数回繰り返して戻しづらくする。ペッパーは最終的な結果データをそのまま保存するのでは無く、暗号化して保存する。(システム共通の暗号化キーがペッパー) 正しい解説は→ https://dev.classmethod.jp/articles/modern-password-hashing-owasp-way/・> パスワードをハッシュ値で保存する際のソルトはどこに保存するのが一般的な実装ですか? https://twitter.com/ockeghem/status/1691966966117122462・#14 #15 ソルトを同じDBに保存する発想がなかったから、自分が少数派で驚いた