5月6~8日のtwitterセキュリティクラスタ
ゴールデンウィーク後半はソニー関連で、情報流出とは関係ない脆弱性が話題になってました。
先日お伝えしたCGIのソースコードがなぜか見えていたりする問題で、個人情報のファイルにアクセスできたようです。間抜けですね。
そして@hasegawayousukeさんが親玉として動いているのではないかという噂w
26日に報告されてたXSSがなぜか2chで祭りになってました。
そして、大元の方では認証サーバーが古かったのではなかろうかとの噂。バナー表示の問題なので真相は不明です。
そして、ソニーのCEOからレターが。ミラーリングされている大規模な環境をフォレンジックするのは大変なんでしょうね。
その他ソニー関連の記事。
その他に気になったことはこのあたり。
先日お伝えしたCGIのソースコードがなぜか見えていたりする問題で、個人情報のファイルにアクセスできたようです。間抜けですね。
kitagawa_takuji: 2chのスレのログ 米ソニーのオンラインショップのソースコードが丸見え!? http://goo.gl/aE2VX 【速報】ソニー 個人情報大公開中 http://goo.gl/GhrL4
kitagawa_takuji: UPDATE1: ソニー<6758.T>でさらに2500人分の情報流出、ネットサービスの一部再開は延期 | マネーニュース | 最新経済ニュース | Reuters http://t.co/xVKSK7Y
kitagawa_takuji: ロイターの記事では『ソニーによると、この情報漏れは、米国子会社が現地時間5日(日本時間6日)にハッカーの情報サイトに掲載されていることに気付き』となっているのでAnonymousのTweetを監視しているSCEI社員が気づいたのだろう。2chへの削除依頼はやはり偽装のようだ。
そして@hasegawayousukeさんが親玉として動いているのではないかという噂w
hasegawayosuke: 風評被害→ http://amba.to/l40jeV
ymzkei5: 「公式アカウント」に吹いたw RT @hasegawayosuke: 風評被害→ http://amba.to/l40jeV
bulkneets: hasegawayosukeさんが晒してたソニーのあれ2chに飛び火してロクでもない感じになってる
bulkneets: ほんとロクでも無い感じでやや心配している
ockeghem: うむ RT @ymzkei5: やはり、はせがわさんがハッカー集団(笑)の裏の親玉と言っても過言ではないですねw 影から間接的に糸を引く系のw RT @kogawam: はせがわさんに触発されましたw 2chには晒してません。IPAとSonyにだけ @hasegawayosuke
26日に報告されてたXSSがなぜか2chで祭りになってました。
ymzkei5: あらら・・・。これは、はせがわさん報告済みのとは別口?>@hasegawayosuke RT @NobMiwa: XSSですな、無料脆弱性検査キャンペーンでしょうか、【速報】ソニーのサイトにヤバい脆弱性 http://bit.ly/mNv3lO
connect24h: ソニーのサイトにヤバい脆弱性 : はちま起稿 http://ow.ly/4PA1J
hasegawayosuke: @ymzkei5 @NobMiwa 別口ですねー。
ymzkei5: @hasegawayosuke 別でしたかー。たくさんあるのね、、(これ見つけた人、はせがわさんに触発されたのかしらw (←言いがかりw
hasegawayosuke: だいたい、sonyproductinformatie.nl 相手にXSSさせてもオランダ在住じゃないとドメイン価値低いw
hasegawayosuke: SonyのXSS、オランダに縁なさそうな日本人が騒いでる理由がよくわからん。
そして、大元の方では認証サーバーが古かったのではなかろうかとの噂。バナー表示の問題なので真相は不明です。
MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"
MasafumiNegishi: @ockeghem 実際のところどうだったのかは、Sonyが公表しない限りわかりませんけどね。情報ソースは IRC(#ps3dev)のログからです。
ockeghem: ありがとうございます! 2.2.3ですか RT @MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"
ockeghem: @MasafumiNegishi ですね。表示上のバージョンが古くても、パッチがあたってないとは限らないし
kitagawa_takuji: @ockeghem @MasafumiNegishi RHEL5のパッケージを使用していればバナー表示は Apache/2.2.3 (Red Hat) になります。
MasafumiNegishi: @kitagawa_takuji @ockeghem はい、そうですね。ログにも同じことが書いてありました。いずれにせよ、バナー表示だけの話です。
そして、ソニーのCEOからレターが。ミラーリングされている大規模な環境をフォレンジックするのは大変なんでしょうね。
ockeghem: SCEAの米下院向けの回答書のスキャンデータっぽい。真正性に対する保証はないので取扱注意 / 050411Hirai http://htn.to/HeV14N
ockeghem: 『11. 今後の情報漏洩を防ぐために講じた手段は』<肝心の脆弱性対処について触れてないのは何故。原文にも当たったがなかった / ソニー、米下院に回答。個人情報7700万件すべてが盗まれたと認める http://htn.to/8j32sN
MasafumiNegishi: おお、ようやく CEOからのレターきた。 http://blog.us.playstation.com/2011/05/05/a-letter-from-howard-stringer/
MasafumiNegishi: @ockeghem 公式なやつはこちらです(flickr)。 http://bit.ly/kcGyWFN NYTimesには PDFもありますね。 http://bit.ly/kNN81M
ockeghem: @MasafumiNegishi ありがとうございます!
MasafumiNegishi: CEOレター読んでる。なぜもっと早くユーザーに知らせなかったのかという批判について、我々もそうしたかったが、フォレンジック調査は複雑で時間がかかるため、十分なデータを得ることができなかったと釈明。確かにディスクミラーして調査するのは根気のいる作業。でもそれが理解されるかどうか。
その他ソニー関連の記事。
MasafumiNegishi: 誰が、なぜ? 史上最悪規模・ソニー個人情報流出事件を時系列順に整理 - ITmedia ニュース http://bit.ly/mU7Qv8
kitagawa_takuji: 【主張】ソニー情報流出 「想定内」の怠慢が招いた - MSN産経ニュース http://t.co/xCq2nuC
connect24h: ソニーの大量情報流出事件 極秘の暗号「ルートキー」が絡む?(J-CASTニュース) - livedoor ニュース http://ow.ly/4PA1l
kitagawa_takuji: http://on.wsj.com/iCGnum 個人情報流出問題をめぐるソニーの苦闘 - WSJ日本版 - jp.WSJ.com
kitagawa_takuji: 『なぜハッカーたちはソニーを狙ったのか/ゲスト:高木浩光氏(産業技術総合研究所主任研究員)』http://www.videonews.com/news-commentary/0001_3/001866.php
MasafumiNegishi: ソニーの個人情報漏えい、NY州検事総長が召喚状を送付 http://bit.ly/lEy4bf
take_set: ソニー流出についての、某板での書き込み→「PSN+の補償とかいらんぞユッケで入院したやつに、同じ店の焼肉無料券持っていくバカが何処に居るんだ」 まさにその通り。
その他に気になったことはこのあたり。
moton: ソニーの影で古典的漏洩の報告w 日本郵政約32万人分の個人情報を紛失 http://bit.ly/iSjSP7
kaito834: ようやくAndroidエミュレータ 2.1-update1で、http://www.exploit-db.com/exploits/16974/ の実行に成功した。
kaito834: .@kaito834 Exploitに成功したときのスクリーンショットはこんな感じ。 http://f.hatena.ne.jp/kaito834/20110506213626 > http://www.exploit-db.com/exploits/16974/ ...に成功
kitagawa_takuji: Social Engineer PodcastにBackTrack5の開発者のほぼ全員が出演中 http://www.social-engineer.org/episode-21-special-edition-backtrack-5-and-infected-mushroom/
connect24h: 今朝、気が付いたら5歳の娘がおいらのiPhoneで遊んでいた。おいら「あれ?パスワードは?」、娘「入れた」。今日が娘の初ショルダーハック記念かとおもったら、だいぶ前から突破されていたらしい。_| ̄|〇 い、いつの間に・・・
スポンサーサイト