5月6～8日のtwitterセキュリティクラスタ

ゴールデンウィーク後半はソニー関連で、情報流出とは関係ない脆弱性が話題になってました。

先日お伝えしたCGIのソースコードがなぜか見えていたりする問題で、個人情報のファイルにアクセスできたようです。間抜けですね。

kitagawa_takuji: 2chのスレのログ　米ソニーのオンラインショップのソースコードが丸見え！？　http://goo.gl/aE2VX　【速報】ソニー　個人情報大公開中　http://goo.gl/GhrL4

kitagawa_takuji: UPDATE1: ソニー<6758.T>でさらに2500人分の情報流出、ネットサービスの一部再開は延期 | マネーニュース | 最新経済ニュース | Reuters http://t.co/xVKSK7Y

kitagawa_takuji: ロイターの記事では『ソニーによると、この情報漏れは、米国子会社が現地時間５日（日本時間６日）にハッカーの情報サイトに掲載されていることに気付き』となっているのでAnonymousのTweetを監視しているSCEI社員が気づいたのだろう。2chへの削除依頼はやはり偽装のようだ。

そして@hasegawayousukeさんが親玉として動いているのではないかという噂ｗ

hasegawayosuke: 風評被害→ http://amba.to/l40jeV

ymzkei5: 「公式アカウント」に吹いたｗ　RT @hasegawayosuke: 風評被害→ http://amba.to/l40jeV

bulkneets: hasegawayosukeさんが晒してたソニーのあれ2chに飛び火してロクでもない感じになってる

bulkneets: ほんとロクでも無い感じでやや心配している

ockeghem: うむ RT @ymzkei5: やはり、はせがわさんがハッカー集団(笑)の裏の親玉と言っても過言ではないですねｗ　影から間接的に糸を引く系のｗ　RT @kogawam: はせがわさんに触発されましたｗ 2chには晒してません。IPAとSonyにだけ @hasegawayosuke

26日に報告されてたXSSがなぜか2chで祭りになってました。

ymzkei5: あらら・・・。これは、はせがわさん報告済みのとは別口？＞@hasegawayosuke　RT @NobMiwa: XSSですな、無料脆弱性検査キャンペーンでしょうか、【速報】ソニーのサイトにヤバい脆弱性　http://bit.ly/mNv3lO

connect24h: ソニーのサイトにヤバい脆弱性 : はちま起稿 http://ow.ly/4PA1J

hasegawayosuke: @ymzkei5 @NobMiwa 別口ですねー。

ymzkei5: @hasegawayosuke 別でしたかー。たくさんあるのね、、（これ見つけた人、はせがわさんに触発されたのかしらｗ （←言いがかりｗ

hasegawayosuke: だいたい、sonyproductinformatie.nl 相手にXSSさせてもオランダ在住じゃないとドメイン価値低いｗ

hasegawayosuke: SonyのXSS、オランダに縁なさそうな日本人が騒いでる理由がよくわからん。

そして、大元の方では認証サーバーが古かったのではなかろうかとの噂。バナー表示の問題なので真相は不明です。

MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"

MasafumiNegishi: @ockeghem 実際のところどうだったのかは、Sonyが公表しない限りわかりませんけどね。情報ソースは IRC(#ps3dev)のログからです。

ockeghem: ありがとうございます! 2.2.3ですか RT @MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"

ockeghem: @MasafumiNegishi ですね。表示上のバージョンが古くても、パッチがあたってないとは限らないし

kitagawa_takuji: @ockeghem @MasafumiNegishi　RHEL5のパッケージを使用していればバナー表示は　Apache/2.2.3 (Red Hat) 　になります。

MasafumiNegishi: @kitagawa_takuji @ockeghem はい、そうですね。ログにも同じことが書いてありました。いずれにせよ、バナー表示だけの話です。

そして、ソニーのCEOからレターが。ミラーリングされている大規模な環境をフォレンジックするのは大変なんでしょうね。

ockeghem: SCEAの米下院向けの回答書のスキャンデータっぽい。真正性に対する保証はないので取扱注意 / 050411Hirai http://htn.to/HeV14N

ockeghem: 『11. 今後の情報漏洩を防ぐために講じた手段は』<肝心の脆弱性対処について触れてないのは何故。原文にも当たったがなかった / ソニー、米下院に回答。個人情報7700万件すべてが盗まれたと認める http://htn.to/8j32sN

MasafumiNegishi: おお、ようやく CEOからのレターきた。 http://blog.us.playstation.com/2011/05/05/a-letter-from-howard-stringer/

MasafumiNegishi: @ockeghem 公式なやつはこちらです(flickr)。 http://bit.ly/kcGyWFN NYTimesには PDFもありますね。 http://bit.ly/kNN81M

ockeghem: @MasafumiNegishi ありがとうございます！

MasafumiNegishi: CEOレター読んでる。なぜもっと早くユーザーに知らせなかったのかという批判について、我々もそうしたかったが、フォレンジック調査は複雑で時間がかかるため、十分なデータを得ることができなかったと釈明。確かにディスクミラーして調査するのは根気のいる作業。でもそれが理解されるかどうか。

その他ソニー関連の記事。

MasafumiNegishi: 誰が、なぜ？　史上最悪規模・ソニー個人情報流出事件を時系列順に整理 - ITmedia ニュース http://bit.ly/mU7Qv8

kitagawa_takuji: 【主張】ソニー情報流出　「想定内」の怠慢が招いた - MSN産経ニュース http://t.co/xCq2nuC

connect24h: ソニーの大量情報流出事件　極秘の暗号「ルートキー」が絡む？(J-CASTニュース) - livedoor ニュース http://ow.ly/4PA1l

kitagawa_takuji: http://on.wsj.com/iCGnum 個人情報流出問題をめぐるソニーの苦闘 - WSJ日本版 - jp.WSJ.com

kitagawa_takuji: 『なぜハッカーたちはソニーを狙ったのか／ゲスト：高木浩光氏（産業技術総合研究所主任研究員）』http://www.videonews.com/news-commentary/0001_3/001866.php

MasafumiNegishi: ソニーの個人情報漏えい、NY州検事総長が召喚状を送付 http://bit.ly/lEy4bf

take_set: ソニー流出についての、某板での書き込み→「PSN+の補償とかいらんぞユッケで入院したやつに、同じ店の焼肉無料券持っていくバカが何処に居るんだ」　　まさにその通り。

その他に気になったことはこのあたり。

moton: ソニーの影で古典的漏洩の報告w 日本郵政約32万人分の個人情報を紛失 http://bit.ly/iSjSP7

kaito834: ようやくAndroidエミュレータ 2.1-update1で、http://www.exploit-db.com/exploits/16974/ の実行に成功した。
kaito834: .@kaito834 Exploitに成功したときのスクリーンショットはこんな感じ。 http://f.hatena.ne.jp/kaito834/20110506213626 > http://www.exploit-db.com/exploits/16974/ ...に成功

kitagawa_takuji: Social Engineer PodcastにBackTrack5の開発者のほぼ全員が出演中 http://www.social-engineer.org/episode-21-special-edition-backtrack-5-and-infected-mushroom/

connect24h: 今朝、気が付いたら5歳の娘がおいらのiPhoneで遊んでいた。おいら「あれ？パスワードは？」、娘「入れた」。今日が娘の初ショルダーハック記念かとおもったら、だいぶ前から突破されていたらしい。_|￣|〇 い、いつの間に・・・