PixivのシステムによるユーザID漏洩とパスロックの未実装(現在実装済)とadminツールについて (original) (raw)
- 140022
サさん @sayamm17 *とぎゃ見る時間ない人用のまとめ* ピクシブ問題の流れ:ログイン用ID各個人のイラストページで丸出しになってる事が判明⇒パスロック制限が無い事が判明(何度ログイン失敗してもログインを止められる事がない)⇒阿鼻叫喚⇒プレ垢クレカ情報を消しに走る⇒消せず⇒騒ぎが大きくなる
続き:pixiv自体の管理者ログインページがなぜかwwwに(通常ハッキング防止に社内のみのアクセスしか受付けないようイントラネットにあるはず)⇒更に炎上⇒マシン状態を表示する文言がなぜかデフォの「It works!」ではなく「It workssl!」になっている(8/4取得情報)
続き:説明の無いままパスロック実装・管理者ログインページがイントラへ。⇒公式発表が無い為、クラッカーによる変更なのかpixiv内の人の変更なのかわからない←イマココ!
まとめ 
pixivのadminツールについて 要望がありましたので、PixivのシステムによるユーザID漏洩とパスロックの未実装とadminツールについて http://togetter.com/li/171884 からpixivのadminツールに関するツイートのみで構成します ID/PW、パスロック、セキュリティについての一ユーザの質問に対するpixiv運営の回答メール http://twitpic.com/63a2uh 関連まとめ ・Pixivのセキュリティ騒動についての解説+おまけ http://togetter.com/li/172303 28248 pv 94 18 users 2
先ほどのIDというのはアカウント名ではなくてログインIDなので 居ないとは思うけど個人情報に関わる本名などをログイン時のIDにしてアカウント作っちゃっててる人は特に注意して下さい
pixivの画像ページソースでIDの確認が出来るな。パスワードのロックもねぇ。馬鹿じゃねぇのこの運営。
画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題 あなたのアカウントは大丈夫?#pixiv
今思ったが ログインID丸見えで後はPWをブルートフォースアタックなり何なりで割り出されるとアカウントハックされちゃうんだけど 作品は消したもののプロフィールも弄れるんだな…だとすると年齢やら何やら正直に入れちゃってる人はまた漏れる危険が
なおpixivにはブルートフォースアタックを抑制するような 複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです
ドンドン拡散してね! 画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫? #pixiv
今GPGPUでパス解析できるらしいな。pixivやばくねぇの?
pixivに投稿された画像からユーザIDがわかります またpixivはパスロック等の処置がないため力技でパスワードがハックされる可能性があります pixivのユーザIDに本名等を使用されている方は特にご注意ください まぁ以前から知られていたことだけど #pixiv
通常3回でパスロックされるのが個人情報を尊重するサイト。あれー?おかしいねぇー。絵師の個人情報大事にしているpixivサンはなんでロックしないのー?
[まとめ]Pixiv内作品ページの画像ソースにログインIDが記されており 後はパスワードを割り出されるとアカウントを乗っ取られます ログインID及びアカウントの非公開プロフに個人情報入れてる人は注意して下さい またパスワード総当たり攻撃への対策はされてないっぽいです
あーあ、ハッカーが気付いたらどうすんだー(棒。パスロックないいんじゃーぶるーとふぉーすされちゃうぞおー。#pixiv
セキュリティに問題があって、個人の信用失墜に利用できる可能性は、これもかなり初期にmixiの日記内で書いてます。まだそのままだったんだ…。多分、他の悪用できると気づいた仕様も残ってるな…。 うっうー!ζ(´▽`)ζ
@KENXY パスロックないんでその手の技術を持った悪意あるユーザーから見たらpixivはいい遊び場でしょうね。最近はPCも高速ですからねぇ。総当りでそんなに時間かからないかもしれないですね。