ソニーピクチャーズのずさんな顧客パスワード管理が判明…「Password」という名前のフォルダにぶっこむ [転載禁止]©2ch.net
1 : アイアンフィンガーフロムヘル(神奈川県)@転載は禁止:
フォルダ名、ファイル名、パスワード、どれもわかりやすすぎました’。
ソニー・ピクチャーズがハッキングされて流出した大量の文書は今、犯人たちの手で徐々に公開されています。
その規模はファイルサイズで100TBと史上最悪とも言われますが、大量のパスワードリストが
「Password」って名前のフォルダに入ってたとなっては、管理体制にも問題があったのでは?って気がしてきます。
新たに公開された文書には、数千件のユーザーネームとパスワードが入っていました。BuzzFeedはそこから比較的簡単に「Password」フォルダを見つけ、
その中には「139件のワード文書、エクセルスプレッドシート、zipファイル、PDFがあり、そこにはソニー・ピクチャーズの
内部コンピューターやソーシャルメディアアカウント、Webサービスアカウントへのパスワード数千件が入っていた」と言ってます。
しかも「ほとんどのファイルには、普通に『password list.xls』とか『YouTube login passwords.xlsx』といった名前が付けられていた」のだとか…。
たしかに、ハッカーがログイン情報を探すときは、「password」なんて文字列は簡単すぎて逆に探さないかもしれないですよね。
ハッカーの裏を書いた万全のセキュリティ…!
という皮肉はさておき、ほんとになんでこんなわかりやすい管理にしちゃってたんでしょうね。
実際のエクセルファイルはこんな感じで、大事な部分はネタ元のBuzzFeedでモザイクかけてますが、この一目瞭然っぷりをご覧ください。
http://www.gizmodo.jp/images/2014/12/141206_sonyhacksequel2.jpg
怖いのは、ソーシャルメディアアカウントの情報だけでなく、
クレジットカードやアマゾンののアカウント情報まで入っていたことです。犯人のホリデーショッピングがこれで充実しそうです。
最初、このハッキングは平壌発とも言われていましたが、北朝鮮は関与を否定しています。ソニー・ピクチャーズが金正恩暗殺の映画を作っていることへの
報復だという噂もあったんですが、lulzsecが黒幕だという説も浮上してきました。
ソニー・ピクチャーズは3年ほど前にもlulzsecにパスワードを盗まれていたので、またやられちゃったってことでしょうか…。
http://www.gizmodo.jp/2014/12/post_16058.html
|
|
|
2 : ボ ラギノール(東京都)@転載は禁止:2014/12/07(日) 23:09:40.30 ID:AzUGxcUK0
侵入された時点で全部抜かれるんだしフォルダ名なんかどうでもいいやろ
3 : パロスペシャル(沖縄県)@転載は禁止:2014/12/07(日) 23:11:09.36 ID:VynJolmU0
流出直後から報道されてたことを
今ごろ記事にするとか二番煎じもいいところ
今ごろ記事にするとか二番煎じもいいところ
4 : ヒップアタック(dion軍)@転載は禁止:2014/12/07(日) 23:12:17.15 ID:omikRAxr0
せめて「p@ssw0rd」で
5 : セントーン(愛知県)@転載は禁止:2014/12/07(日) 23:15:20.46 ID:6q18Q+4g0
やっぱ毛唐はダメだな
6 : ジャンピングDDT(京都府)@転載は禁止:2014/12/07(日) 23:19:22.91 ID:GOFelxNt0
暗号化されているかどうかが問題でファイル名とか関係ないから。
7 : アトミックドロップ(catv?)@転載は禁止:2014/12/07(日) 23:20:21.01 ID:iUjAM34d0
いや、これは仕方ないんじゃね?
8 : 膝靭帯固め(dion軍)@転載は禁止:2014/12/07(日) 23:23:56.41 ID:YeTXKMHK0
どの辺が仕方ないんだよ
9 : タイガードライバー(岡山県)@転載は禁止:2014/12/07(日) 23:24:28.77 ID:cfXyrQZn0
本気でやられたら誰も防げないんじゃ
10 : スパイダージャーマン(チベット自治区)@転載は禁止:2014/12/07(日) 23:25:56.66 ID:F3V3I62j0
2chも流出したからね
有名人の名前とクレジットカード番号も見えたもんね
有名人の名前とクレジットカード番号も見えたもんね
11 : バックドロップ(やわらか銀行)@転載は禁止:2014/12/07(日) 23:27:09.04 ID:8bh77X5z0
いつも思うんだけど、そんなに重要なデータなら物理的に社外ネットワークから切り離しとけばよくね?
12 : アトミックドロップ(catv?)@転載は禁止:2014/12/07(日) 23:28:06.30 ID:iUjAM34d0
>>6
まあ、平文でぶっこんでるのが問題よなw ファイル名とかどうでもいいわ
まあ、平文でぶっこんでるのが問題よなw ファイル名とかどうでもいいわ
13 : エクスプロイダー(SB-iPhone)@転載は禁止:2014/12/07(日) 23:41:36.08 ID:dknmXJOd0
>>1
( д) ゚ ゚
( д) ゚ ゚
14 : キャプチュード(大阪府)@転載は禁止:2014/12/07(日) 23:49:20.02 ID:cBSyFzeL0
新しいフォルダー
15 : エルボードロップ(四国地方)@転載は禁止:2014/12/07(日) 23:51:21.99 ID:36Qgt+U60
さすがソニーですね!
こういうことする奴らだとは思ってました
こういうことする奴らだとは思ってました
16 : アルゼンチンバックブリーカー(長野県)@転載は禁止:2014/12/07(日) 23:52:48.16 ID:FZCZ6jdC0
ハッカーに侵入されてデータ全部もっていかれた時点でおわりなんだからね
passwordでもなんでもいいよね
むしろ顧客名簿のファイル名がsexfriendとかのほうがやばかった
passwordでもなんでもいいよね
むしろ顧客名簿のファイル名がsexfriendとかのほうがやばかった
17 : イス攻撃(神奈川県)@転載は禁止:2014/12/07(日) 23:52:49.08 ID:4hgzDtAv0
いかにも無能ソニーがやりそうなこった
18 : レインメーカー(芋)@転載は禁止:2014/12/08(月) 00:02:22.50 ID:0ehkaMeh0
既に出てるけどフォルダ名はわかりやすかろうがどうでもいい
入られたことが問題
入られたことが問題
19 : ウエスタンラリアット(宮城県)@転載は禁止:2014/12/08(月) 00:12:34.21 ID:BW+QasSG0
情弱って怖い
問題はそこじゃない
問題はそこじゃない
20 : アトミックドロップ(WiMAX)@転載は禁止:2014/12/08(月) 00:13:22.22 ID:aBa5MO9h0
むしろモニターにパスワードの付箋貼ってる
おっさん連中の方がマシなレベル
おっさん連中の方がマシなレベル
21 : クロスヒールホールド(東京都)@転載は禁止:2014/12/08(月) 00:14:14.09 ID:AHHEE4l/0
侵入されていいわけはないが、潔癖主義は時としてもっと大きな危機を招く。
映画数本分のデータダウンロードされたっていうけど、
何十時間も侵入に気づかないまま放置されたのかね?
映画数本分のデータダウンロードされたっていうけど、
何十時間も侵入に気づかないまま放置されたのかね?
22 : フェイスロック(大阪府)@転載は禁止:2014/12/08(月) 00:43:07.77 ID:KGlrOTjV0
>>6
そゆことか
そゆことか
23 : 不知火(静岡県)@転載は禁止:2014/12/08(月) 00:44:27.52 ID:yTSl1m/T0
24 : 河津掛け(チベット自治区)@転載は禁止:2014/12/08(月) 00:51:25.03 ID:zPAwO9EO0
パスワードをメモる時は全部書かないのか常識やろ(´・ω・`)
25 : ジャンピングパワーボム(京都府)@転載は禁止:2014/12/08(月) 00:54:10.84 ID:1qBLtBof0
この記者なにとんちんかんな事書いてるんだ?
別に殆どのOSなんてpasswdのファイル名なんて固定だろ・・・
置き場所も
暗号化されてるかどうかや、そもそもそのファイルへのアクセスを拒否する事が出来るかどうか
一端侵入されたらファイル名変えたごときでごまかせるかよw
別に殆どのOSなんてpasswdのファイル名なんて固定だろ・・・
置き場所も
暗号化されてるかどうかや、そもそもそのファイルへのアクセスを拒否する事が出来るかどうか
一端侵入されたらファイル名変えたごときでごまかせるかよw
26 : ボ ラギノール(東京都)@転載は禁止:2014/12/08(月) 01:04:14.71 ID:mfVFlg3l0
セガのパスワードなんて
どうせsonicだろうとか言ってやったら
一発でとおってフイタよw
どうせsonicだろうとか言ってやったら
一発でとおってフイタよw
27 : タイガードライバー(西日本)@転載は禁止:2014/12/08(月) 01:45:55.41 ID:Fn7IjbmO0
なんでもかでも北朝鮮の仕業にしてんじゃねえよw
28 : アキレス腱固め(千葉県)@転載は禁止:2014/12/08(月) 01:49:06.40 ID:YQj0/AB30
こういうの何なんだろうな
ちょっと前にも「メールの添付ファイルが暗号化されてない」とかあったよな
ほんと、何なんだろう
ちょっと前にも「メールの添付ファイルが暗号化されてない」とかあったよな
ほんと、何なんだろう
29 : 毒霧(SB-iPhone)@転載は禁止:2014/12/08(月) 02:35:42.00 ID:TBaok5Db0
ネットに繋いでいたの?個人情報のサーバだけはネットを切るべき。面倒くさいけど流出のリスクを考えたらヤルべき。
30 : レインメーカー(東京都)@転載は禁止:2014/12/08(月) 03:23:15.55 ID:ebGSyBBH0
31 : レインメーカー(東京都)@転載は禁止:2014/12/08(月) 03:24:07.27 ID:ebGSyBBH0
内部に中国のスパイがいるんじゃないかな?
32 : ダイビングヘッドバット(神奈川県)@転載は禁止:2014/12/08(月) 03:45:21.20 ID:7W6l80A70
ソニー倒産だな
33 : ドラゴンスリーパー(東京都)@転載は禁止:2014/12/08(月) 04:08:37.56 ID:L87+GsNV0
うちの会社はGoogleDocsにすべてのサーバーのパスワード書いてあるから安全。
もちろん一般公開しないに設定してあるよ。
もちろん一般公開しないに設定してあるよ。
34 : 中年'sリフト(神奈川県)@転載は禁止:2014/12/08(月) 04:14:28.53 ID:eGi6y9m50
暗号化じゃなくて
ハッシュな
ハッシュな
35 : ドラゴンスリーパー(内モンゴル自治区)@転載は禁止:2014/12/08(月) 06:22:57.27 ID:jJ/R0VOSO
危機管理能力ゼロ
36 : エルボードロップ(愛媛県)@転載は禁止:2014/12/08(月) 07:53:34.20 ID:8g5d/cAp0
>>30
平文のパスワードと比較したりしない
平文のパスワードと比較したりしない
37 : リキラリアット(SB-iPhone)@転載は禁止:2014/12/08(月) 12:40:44.40 ID:vfCQhjg00
ステマ用のアカウントもあるのかな?
38 : ウエスタンラリアット(東京都)@転載は禁止:2014/12/08(月) 12:44:24.54 ID:sEGpmq7p0
別にフォルダの名前ぐらいいいだろとか思ったけどファイル名までもか
しかも暗号化もしてないとかどこの勇者なんだよ
勇者だってそんなに無防備じゃねえし
しかも暗号化もしてないとかどこの勇者なんだよ
勇者だってそんなに無防備じゃねえし
39 : ジャンピングパワーボム(岐阜県)@転載は禁止:2014/12/08(月) 12:49:06.48 ID:BBQo101I0
いや普通フォルダ名もそれ以外の数字番号に混ぜ込んで
その上でフォルダごとに別暗号かけるだろう
その上でフォルダごとに別暗号かけるだろう
40 : パロスペシャル(神奈川県)@転載は禁止:2014/12/08(月) 12:49:43.48 ID:tIopPlYG0
TrueCryptの仮想ドライブをまるごとdropboxに入れてるんだけど、TrueCryptが開発終了して困ってる。
パスワードはパスワード管理ソフトを使ってるから、管理ソフトで暗号化→TrueCryptで暗号化の2回暗号化してるな。
パスワードはパスワード管理ソフトを使ってるから、管理ソフトで暗号化→TrueCryptで暗号化の2回暗号化してるな。
41 : ジャンピングパワーボム(岐阜県)@転載は禁止:2014/12/08(月) 12:51:11.86 ID:BBQo101I0
どうせテキストファイルなんてたいした大きさでもないんだから
顧客情報と同じだけの乱数生成の無駄な文字列ファイルと並列で置くわいな
顧客情報と同じだけの乱数生成の無駄な文字列ファイルと並列で置くわいな
42 : パロスペシャル(神奈川県)@転載は禁止:2014/12/08(月) 12:54:43.53 ID:tIopPlYG0
添付ファイルは暗号化ZIPファイルを使っているが、あれは効果のある対策なんだろうか?
43 : バックドロップホールド(芋)@転載は禁止:2014/12/08(月) 12:55:37.48 ID:7HRG/kj20
パスワードにしろよw
日本語がわからない外人には意味不明だから
それかハ*スワート**
日本語がわからない外人には意味不明だから
それかハ*スワート**
44 : キチンシンク(SB-iPhone)@転載は禁止:2014/12/08(月) 14:25:40.57 ID:Cwa3gDHf0
45 : 腕ひしぎ十字固め(関東・甲信越)@転載は禁止:2014/12/08(月) 14:34:28.03 ID:JEkaK4MXO
1億件流出の時にセキュリティの担当者を配置するとか言ってなかったっけ?
それまで居なかった事にも驚きだけど
それまで居なかった事にも驚きだけど
46 : キチンシンク(東京都)@転載は禁止:2014/12/08(月) 14:44:47.87 ID:46J5gQuP0
わざとです♪
47 : 男色ドライバー(富山県)@転載は禁止:2014/12/08(月) 14:47:09.43 ID:75DJyKEz0
そこは別に関係ないだろ
それ以外にアメリカ人がバカやったとか実は政府が情報抜いてたのでそこから漏れただろうよ
ハックする奴はそういうとこ狙う
それ以外にアメリカ人がバカやったとか実は政府が情報抜いてたのでそこから漏れただろうよ
ハックする奴はそういうとこ狙う
48 : クロスヒールホールド(愛知県)@転載は禁止:2014/12/08(月) 15:16:36.38 ID:jxN4/nqg0
これはトラップだろ
49 : キチンシンク(SB-iPhone)@転載は禁止:2014/12/08(月) 15:24:36.58 ID:Cwa3gDHf0
50 : ニールキック(チベット自治区)@転載は禁止:2014/12/08(月) 15:24:41.59 ID:OnoCIjka0
Password .exe
51 : 腕ひしぎ十字固め(関東・甲信越)@転載は禁止:2014/12/08(月) 16:10:42.95 ID:JEkaK4MXO
100%防ぐのは不可能にしろ
これだけカモられてるのは…
これだけカモられてるのは…
52 : デンジャラスバックドロップ(大阪府)@転載は禁止:2014/12/08(月) 20:14:56.12 ID:EyMiuqtN0
ザル過ぎる
53 : 栓抜き攻撃(愛知県)@転載は禁止:2014/12/08(月) 20:15:53.75 ID:ccwcRYNS0
だから毛唐に管理させちゃいけない
54 : 毒霧(家)@転載は禁止:2014/12/09(火) 00:01:17.80 ID:Ea0vxhkR0
正直トップの危機意識の無さじゃないか?
55 : 16文キック(関西・東海)@転載は禁止:2014/12/09(火) 03:54:28.39 ID:coQW7v9yO
UPDATE 1-ソニーのプレイステーション・ストアにサイバー攻撃、原因調査中
http://jp.reuters.com/article/marketsNews/idJPL3N0TS4JU20141208
ソニー のプレイステーション専用オンラインストアが8日、サイバー攻撃を受け、約2時間アクセス不能となった。英フィナンシャル・タイムズ(FT)紙が報じた。
ソニーはこれを確認、現在原因を調査中としている。
プレイステーションの公式ツイッター(英語版)では、「PSN(プレイステーション・ネットワーク)への接続でユーザーに問題が生じていることは承知しております。本件については調査中で、ご辛抱に感謝致します」と掲載された。
FTによると、PSNは東京時間の午前8時52分から11時18分にかけてアクセスがほとんどできない状態となった。ソニーは、データが漏えいまたは盗まれたという報告はこれまでのところないとした。
2011年にはプレイステーションのネットワークも大規模なサイバー攻撃を受け、7700万人の利用者に関するデータが漏えいした事件が発生している。
8日序盤の米国市場で、ソニーの米市場上場株は一時3.9%下落した。
http://jp.reuters.com/article/marketsNews/idJPL3N0TS4JU20141208
ソニー のプレイステーション専用オンラインストアが8日、サイバー攻撃を受け、約2時間アクセス不能となった。英フィナンシャル・タイムズ(FT)紙が報じた。
ソニーはこれを確認、現在原因を調査中としている。
プレイステーションの公式ツイッター(英語版)では、「PSN(プレイステーション・ネットワーク)への接続でユーザーに問題が生じていることは承知しております。本件については調査中で、ご辛抱に感謝致します」と掲載された。
FTによると、PSNは東京時間の午前8時52分から11時18分にかけてアクセスがほとんどできない状態となった。ソニーは、データが漏えいまたは盗まれたという報告はこれまでのところないとした。
2011年にはプレイステーションのネットワークも大規模なサイバー攻撃を受け、7700万人の利用者に関するデータが漏えいした事件が発生している。
8日序盤の米国市場で、ソニーの米市場上場株は一時3.9%下落した。
56 : ドラゴンスープレックス(石川県)@転載は禁止:2014/12/09(火) 10:10:49.68 ID:st8mngd60
馬鹿すぎて呆れる
57 : ナガタロックII(愛知県)@転載は禁止:2014/12/09(火) 10:20:35.58 ID:+XPgS34e0
Password.txtとか普通だし
58 : サソリ固め(新疆ウイグル自治区)@転載は禁止:2014/12/09(火) 10:27:55.10 ID:k9QXqIXJ0
IDとパスワードが保管されたファイルがありますが、そのIDとパスワードでログインすると
管理側にアラートが出るという罠なので、ハッキングした人はお気を付けください。
管理側にアラートが出るという罠なので、ハッキングした人はお気を付けください。
59 : バーニングハンマー(関東・甲信越)@転載は禁止:2014/12/09(火) 10:28:05.81 ID:vnLtRSBzO
ネットワークで商売なんてやらなきゃいいのに
60 : 不知火(千葉県)@転載は禁止:2014/12/09(火) 10:34:21.18 ID:wIkdg8gf0
なに言ってんだこの馬鹿(o^w^o)
61 : ナガタロックII(埼玉県)@転載は禁止:2014/12/09(火) 11:02:10.24 ID:PtLMpp8+0
この会社のウォークマン用のソフトみれば一発で分かる事例
重い・遅い・機能足りない・ユーザーの意見反映されない
無駄に2つソフトがあるがどちらも一長一短
組織間・部署間のつながりが無く同様の失敗を学ぶこと無く繰り返す
唯我独尊というより夜郎自大
めざせituneより独自規格の囲い込み優先
当然セキュリティ・ユーザビリティという顧客寄りの考え方などせず
会社傾けるほどソフト部門が弱いという自覚も無し
重い・遅い・機能足りない・ユーザーの意見反映されない
無駄に2つソフトがあるがどちらも一長一短
組織間・部署間のつながりが無く同様の失敗を学ぶこと無く繰り返す
唯我独尊というより夜郎自大
めざせituneより独自規格の囲い込み優先
当然セキュリティ・ユーザビリティという顧客寄りの考え方などせず
会社傾けるほどソフト部門が弱いという自覚も無し
62 : サソリ固め(新疆ウイグル自治区)@転載は禁止:2014/12/09(火) 11:10:00.28 ID:k9QXqIXJ0
最初に使った時、広告が画面の1/3を占有する転送ソフトにはうんざりしたわ。
そいつがサーバーにアクセスして表示するために、肝心の転送処理や編集処理がスポイルされるという、
本末転倒使用。ちゃらちゃらと動画で切り替えて、作業中も目障りな事この上なし。
そいつがサーバーにアクセスして表示するために、肝心の転送処理や編集処理がスポイルされるという、
本末転倒使用。ちゃらちゃらと動画で切り替えて、作業中も目障りな事この上なし。
63 : バーニングハンマー(関東・甲信越)@転載は禁止:2014/12/09(火) 11:16:08.02 ID:vnLtRSBzO
酷いクオリティだな
64 : 中年'sリフト(富山県)@転載は禁止:2014/12/09(火) 13:07:13.26 ID:wz2Hn4AU0
>1は北朝鮮人
65 : キドクラッチ(大阪府)@転載は禁止:2014/12/09(火) 20:47:30.51 ID:yYaJMWw+0
流石チョニー
こんなんフツー
うちもExcelに平文でパスワード記述して保管してるし
うちもExcelに平文でパスワード記述して保管してるし