【社会】中国国内から「SQLインジェクション」…カード番号など流出した可能性 - サウンドハウス
音響機器や楽器などを販売するサウンドハウス(千葉県成田市)は
4月6日までに、ECサイトに不正アクセスがあり、顧客の個人情報が
流出した可能性があると明らかにした。クレジットカード番号が
流出した可能性もあるという。
2007年1月1日以降に新規登録した顧客の一部の氏名、
クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
性別、生年月日、サイトログイン用メールアドレスとパスワードが
流出した可能性があるとしている。
4月3日までにカード会社から「サウンドハウスのECサイトで購入した顧客の
カード番号が流出している可能性がある」との指摘を受け、
セキュリティ企業に依頼して調査したところ、3月11日から22日にかけ、
中国国内の複数のIPアドレスからSQLインジェクション攻撃が
仕掛けられていたことが分かった。
第三者によるカードの不正使用が発覚した場合も、ユーザーの負担は
一切ないとしている。JCBとオリコも、同様の対応を発表した。
サウンドハウスは、同社データベースから全てのカード情報を削除したほか、
不正侵入監視機器の設置、ファイアウォールの強化、セキュリティ管理・
対策委員会の設置といった対策を実施した。
同じ時期には大規模なSQLインジェクション攻撃が起きており、
トレンドマイクロのWebサイトが改ざんされた被害も、
同攻撃によるものと見られる。
*+*+ ITmedia 2008/04/07[**:**] +*+*
http://www.itmedia.co.jp/news/articles/0804/07/news006.html
4月6日までに、ECサイトに不正アクセスがあり、顧客の個人情報が
流出した可能性があると明らかにした。クレジットカード番号が
流出した可能性もあるという。
2007年1月1日以降に新規登録した顧客の一部の氏名、
クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
性別、生年月日、サイトログイン用メールアドレスとパスワードが
流出した可能性があるとしている。
4月3日までにカード会社から「サウンドハウスのECサイトで購入した顧客の
カード番号が流出している可能性がある」との指摘を受け、
セキュリティ企業に依頼して調査したところ、3月11日から22日にかけ、
中国国内の複数のIPアドレスからSQLインジェクション攻撃が
仕掛けられていたことが分かった。
第三者によるカードの不正使用が発覚した場合も、ユーザーの負担は
一切ないとしている。JCBとオリコも、同様の対応を発表した。
サウンドハウスは、同社データベースから全てのカード情報を削除したほか、
不正侵入監視機器の設置、ファイアウォールの強化、セキュリティ管理・
対策委員会の設置といった対策を実施した。
同じ時期には大規模なSQLインジェクション攻撃が起きており、
トレンドマイクロのWebサイトが改ざんされた被害も、
同攻撃によるものと見られる。
*+*+ ITmedia 2008/04/07[**:**] +*+*
http://www.itmedia.co.jp/news/articles/0804/07/news006.html
|
|
|
2 :名無しさん@八周年:2008/04/07(月) 08:43:08 ID:IAOJ7p7mO
また支那か
サウンドハウスってあのサウンドハウスじゃないか。
ギターの弦を買っただけで流出とかマジ辛い
5 :名無しさん@八周年:2008/04/07(月) 08:47:55 ID:3HEPqWck0
独自のショッピングサイトだったのかな?
それとも規制のECサイト用CMSに対してSQLインジェクションの攻撃を受けたんだろうか?
それとも規制のECサイト用CMSに対してSQLインジェクションの攻撃を受けたんだろうか?
6 :名無しさん@八周年:2008/04/07(月) 08:48:09 ID:R2DzPo7MO
いまだに外向けのwebサーバーから直接DBにアクセスしてるサイトあるのか
7 :名無しさん@八周年:2008/04/07(月) 08:50:56 ID:HmE7DVDoO
アホだな
8 :名無しさん@八周年:2008/04/07(月) 08:51:17 ID:VT3aW8Xn0
昨日の夜中にメール来ててビックリだったよ・・
怖いので速攻でカード止めたw
怖いので速攻でカード止めたw
9 :名無しさん@八周年:2008/04/07(月) 08:58:42 ID:D0HHUYwG0
これさ、どうせどっかに丸投げで作ってんだろ?
同じとこが作ったサイトもやべーんじゃねーの?
同じとこが作ったサイトもやべーんじゃねーの?
10 :名無しさん@八周年:2008/04/07(月) 09:06:05 ID:thRis8jI0
今見たらこっから流出しましたよーんってメールきたぞコラ
危なく利用するところだった。
SQLインジェクションなら作ったやつも攻撃したやつと同じぐらい責任を問われてしかるべき。
13 :名無しさん@八周年:2008/04/07(月) 09:09:18 ID:UkEtrKaN0
> 流出した可能性もあるという。
既に、ゲームサイトでの不法使用が報告されまくってるのに、"可能性"?
犯人はすでに換金しててますよ〜
既に、ゲームサイトでの不法使用が報告されまくってるのに、"可能性"?
犯人はすでに換金しててますよ〜
14 :名無しさん@八周年:2008/04/07(月) 09:09:36 ID:uq6jzPAIO
不正アクセスっていうけどさ、SQLインジェクション対策なんて基礎中の基礎じゃん
小中学生でも出来るような攻撃だぜ?
それの対応してなかったシステム側のミスのほうが大きいと思うけどな
小中学生でも出来るような攻撃だぜ?
それの対応してなかったシステム側のミスのほうが大きいと思うけどな
もうすぐ 4.26(土)長野 4.26(土)長野 4.26(土)長野 五輪聖火が長野に来る
中国の北京五輪組織委員会が、長野市で4月26日に行われる聖火のリレーや式典を直接妨害する行為だけでなく、中国政府を批判するメッセージを書いたプラカード類を掲げるなどの活動も排除するよう要求している。
いいかお前ら!長野に聖火が来るが沿道でダライラマの肖像やチベット国旗を掲げるなよ。絶対にやめろよ!
by 中国政府
聖火リレーの時チベットの旗を振ろう!! まとめサイト
http://www8.atwiki.jp/winwin/
胡錦濤国家主席来日!チベット祭りで迎えよう!
・平成20年4月10日(木)、ダライ・ラマ法王来日
・平成20年4月17日(木)〜19日(土)、楊潔褫外相来日
・平成20年4月26日(土)8時〜13時、五輪聖火リレーin長野(善光寺→若里公園)
※4月25日(金)夕方、聖火東京着
・平成20年5月6日(火)〜11日(日)、胡錦濤国家主席来日、東京、奈良 ←予定
・平成20年7月7日(月)〜9日(水)、洞爺湖サミット
このOFFの概要は、
* 日本中を雪山獅子旗(チベットの旗)だらけにする
中国の北京五輪組織委員会が、長野市で4月26日に行われる聖火のリレーや式典を直接妨害する行為だけでなく、中国政府を批判するメッセージを書いたプラカード類を掲げるなどの活動も排除するよう要求している。
いいかお前ら!長野に聖火が来るが沿道でダライラマの肖像やチベット国旗を掲げるなよ。絶対にやめろよ!
by 中国政府
聖火リレーの時チベットの旗を振ろう!! まとめサイト
http://www8.atwiki.jp/winwin/
胡錦濤国家主席来日!チベット祭りで迎えよう!
・平成20年4月10日(木)、ダライ・ラマ法王来日
・平成20年4月17日(木)〜19日(土)、楊潔褫外相来日
・平成20年4月26日(土)8時〜13時、五輪聖火リレーin長野(善光寺→若里公園)
※4月25日(金)夕方、聖火東京着
・平成20年5月6日(火)〜11日(日)、胡錦濤国家主席来日、東京、奈良 ←予定
・平成20年7月7日(月)〜9日(水)、洞爺湖サミット
このOFFの概要は、
* 日本中を雪山獅子旗(チベットの旗)だらけにする
16 :名無しさん@八周年:2008/04/07(月) 09:13:10 ID:ykq/UPfP0
逝かれました、約7万円抜かれちゃいました、本件でのリアル被害者ですorz
17 :名無しさん@八周年:2008/04/07(月) 09:15:46 ID:Azhu6/zv0
PHP+データベースじゃなく、全部Perlとかでシステム構築すればいいのに
エンジニアは楽したいだけなんだよな
エンジニアは楽したいだけなんだよな
またチャンコロの犯罪か。
20 :名無しさん@八周年:2008/04/07(月) 09:22:06 ID:TgnayZJA0
97,500件の生きたすぐ買い物に使えるカード情報が流出wwwwww
おいおい、また中国人のGDPと中国の外貨準備高が上がりましたよ
これはもう中国のサイバーテロですよorz
おいおい、また中国人のGDPと中国の外貨準備高が上がりましたよ
これはもう中国のサイバーテロですよorz
21 :名無しさん@八周年:2008/04/07(月) 09:23:41 ID:ugUcmU5w0
シナ畜は嫌いだがSQLインジェクションなんて、どこからとか言う前に自前の問題だろ
このスレ、まだやってたのか。
と思ったら、今日の記事なのか・・・
ITmedia取り扱うの遅いな。
と思ったら、今日の記事なのか・・・
ITmedia取り扱うの遅いな。
23 :試されるだいちっちφ ★:2008/04/07(月) 09:29:14 ID:???0
元ニューススレ
【ネット】「クレジットカード情報も」 楽器通販のサウンドハウス、外部からの不正アクセスにより利用者の情報が流出
http://mamono.2ch.net/test/read.cgi/newsplus/1207307849/
ちょうど終わるところだったので、続報はありがたいです。
【ネット】「クレジットカード情報も」 楽器通販のサウンドハウス、外部からの不正アクセスにより利用者の情報が流出
http://mamono.2ch.net/test/read.cgi/newsplus/1207307849/
ちょうど終わるところだったので、続報はありがたいです。
24 :名無しさん@八周年:2008/04/07(月) 09:34:43 ID:TgnayZJA0
無しさん@八周年[sage] 投稿日:2008/04/04(金) 20:20:49 ID:A2zo5blM0
291 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/04(金) 11:31:48
カード会社: スルガVISAデビッド
カード会社からの連絡:なし
連絡方法:
利用停止:こちらから連絡して停止
カード再発行: こちらから連絡して再発行
再発行手数料:有料→無料
不正使用被害:あり (3/19日に8件身に覚えのない使用履歴)
カード会社の不正使用に対する対応:
3/19 7件の不正使用 → デビッド停止 → 調査依頼
4/03 2chのスレ見て連絡、調査進展なし、再発行は有料といわれる
4/04 朝電話、再発行は無料で対応と方針変更
コメント:
サウンドハウスからなんの連絡もありません
2chのスレで事件を知りました
それまでは、まったく詳細不明の請求に悩んでいました。
2chにスレが立ったおかげで、周知され、スルガ銀行はようやく対処を始めてくれました。
291 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/04(金) 11:31:48
カード会社: スルガVISAデビッド
カード会社からの連絡:なし
連絡方法:
利用停止:こちらから連絡して停止
カード再発行: こちらから連絡して再発行
再発行手数料:有料→無料
不正使用被害:あり (3/19日に8件身に覚えのない使用履歴)
カード会社の不正使用に対する対応:
3/19 7件の不正使用 → デビッド停止 → 調査依頼
4/03 2chのスレ見て連絡、調査進展なし、再発行は有料といわれる
4/04 朝電話、再発行は無料で対応と方針変更
コメント:
サウンドハウスからなんの連絡もありません
2chのスレで事件を知りました
それまでは、まったく詳細不明の請求に悩んでいました。
2chにスレが立ったおかげで、周知され、スルガ銀行はようやく対処を始めてくれました。
( ^ω^) WEBアプリは危険がいっぱいお
26 : ◆SCHearTCPU :2008/04/07(月) 09:41:12 ID:bdlKVYfE0
27 :名無しさん@八周年:2008/04/07(月) 09:42:38 ID:Zfljjpri0
クレカを扱っている会社がSQLインジェクション対策をしていなかった方が異常だろ
28 :名無しさん@八周年:2008/04/07(月) 09:43:19 ID:lLaICbRU0
カード会社により取り組みや扱いが違いすぎるな
すでに、カード会社のセキュリティレベルアピール合戦に・・
すでに、カード会社のセキュリティレベルアピール合戦に・・
29 :名無しさん@八周年:2008/04/07(月) 09:45:46 ID:D0HHUYwG0
イーバンクは確実にユーザー減るだろうね
まぁ、減っても痛くも痒くもないくらいのユーザー数だろうけど。
まぁ、減っても痛くも痒くもないくらいのユーザー数だろうけど。
30 :名無しさん@八周年:2008/04/07(月) 09:46:59 ID:u6VXA3KHO
PHP(笑)
ウチもSQLインジェクションが心配だったんで、調査したが
既に対策済みだった。漏れた人は不幸としか言いようがない。
既に対策済みだった。漏れた人は不幸としか言いようがない。
懐かしいな>SQLインジェクション
対策は常識以前だよ今時。
対策は常識以前だよ今時。
33 :名無しさん@八周年:2008/04/07(月) 09:50:58 ID:PZ3tyoZqO
ここでまさに買い物したんだが…orz
まだ現金払いにしててよかった。と思うべきかorz
どっちにしろさらっとメールしか連絡&お詫びきてね〜
まだ現金払いにしててよかった。と思うべきかorz
どっちにしろさらっとメールしか連絡&お詫びきてね〜
34 :名無しさん@八周年:2008/04/07(月) 09:52:18 ID:8Djo0X9J0
日本国内では暴力犯罪
日本国外ではネット犯罪
辺境では虐殺
どーしよーもねー、犯罪虐殺国家中国。
カード会社に電話すると、「サウンドハウスの件ですね」で通じるようになったのはいいけど
あれだ、お前らの個人情報は世界中に漏れまくってるってことを忘れるな!
例えば、会社面接にいっても
「あっ、サウンドハウスの件の人ね?」
で通じるようになる
入社しても、上司からは、
「サウンド、あれやっとけよ!」
ってあだ名で呼ばれる
休憩室で同僚たちが
「オトヤの奴、マジ使えねーな」
って噂してて、
オトヤって誰なんだろ?って思っているのは、お前一人だけなんだぞ
あれだ、お前らの個人情報は世界中に漏れまくってるってことを忘れるな!
例えば、会社面接にいっても
「あっ、サウンドハウスの件の人ね?」
で通じるようになる
入社しても、上司からは、
「サウンド、あれやっとけよ!」
ってあだ名で呼ばれる
休憩室で同僚たちが
「オトヤの奴、マジ使えねーな」
って噂してて、
オトヤって誰なんだろ?って思っているのは、お前一人だけなんだぞ
36 :名無しさん@八周年:2008/04/07(月) 10:03:55 ID:lbPr0nsH0
またニートウヨどもが
中国を叩いて憂さ晴らししているスレか
中国を叩いて憂さ晴らししているスレか
37 :名無しさん@八周年:2008/04/07(月) 10:09:01 ID:jBpeWgkR0
またニートサヨどもが
中国を擁護して憂さ晴らししているスレか
中国を擁護して憂さ晴らししているスレか
38 :名無しさん@八周年:2008/04/07(月) 10:09:53 ID:JKGIYtDZO
>>36
釣りなら余所でやれ
釣りなら余所でやれ
39 :名無しさん@八周年:2008/04/07(月) 10:10:02 ID:NfY6JdV10
3年程前に使ったけど、メールすら来てないよ…不安
40 :名無しさん@八周年:2008/04/07(月) 10:10:18 ID:1DQ9Qn1TO
SELECT
FROM
WHERE
GROUP BY
HAVING
ORDER BY
FROM
WHERE
GROUP BY
HAVING
ORDER BY
SELECT * FROM users WHERE name = '' OR 't' = 't';
>>39
いつ何に使ったか全く記憶がないのにメールが来た俺は別の意味で不安だわw
いつ何に使ったか全く記憶がないのにメールが来た俺は別の意味で不安だわw
43 :名無しさん@八周年:2008/04/07(月) 10:37:02 ID:zGySrcVa0
明日になったら、音屋の前の国道は街宣右翼に占拠され
"中国製品を売るなー" とかやられるかもね
いや、B企業じ同胞なのでやられないかw
"中国製品を売るなー" とかやられるかもね
いや、B企業じ同胞なのでやられないかw
中国とのネット接続禁止で良いよ
SQLインジェクションぐらい対策しとけや…
46 :名無しさん@八周年:2008/04/07(月) 10:42:43 ID:5WQk3ZWB0
SQLインジェクションって
クレジット番号:12345
ID =12345
SELECT( ID )
こうやって、IDを入力するところを
クレジット番号:I am admin
ID = I am admin
SELECT( I am admin )
このように無茶苦茶な命令を通してしまう技術だったっけ?
クレジット番号:12345
ID =12345
SELECT( ID )
こうやって、IDを入力するところを
クレジット番号:I am admin
ID = I am admin
SELECT( I am admin )
このように無茶苦茶な命令を通してしまう技術だったっけ?
再発行しといたほうがいいのかねぇ
今さっきカード会社に連絡したよ。
無料で再発行してくれることになったけど、流出元を聞かれなかった。
これなら落としても、情報流出したって言えば再発行タダなのか?
無料で再発行してくれることになったけど、流出元を聞かれなかった。
これなら落としても、情報流出したって言えば再発行タダなのか?
50 :名無しさん@八周年:2008/04/07(月) 10:55:05 ID:g5EFK7R10
該当IDの住所を表示します、あなたのIDは?
: アホ または 1=1
OK、SIR!、1=1は正なので、全部の住所を表示します!
: アホ または 1=1
OK、SIR!、1=1は正なので、全部の住所を表示します!
51 :名無しさん@八周年:2008/04/07(月) 10:55:31 ID:tuAReXegO
;とかでSQLぶった切りするやつでしょ?
IDのところに「admin’ & ’;’」とか入れてパスワードいらなくできるやつ
まだ対策取ってないとこあったのか
IDのところに「admin’ & ’;’」とか入れてパスワードいらなくできるやつ
まだ対策取ってないとこあったのか
52 :名無しさん@八周年:2008/04/07(月) 10:56:35 ID:yJcY5jRo0
カスタネットの弦を買っただけで流出とかマジ辛い
XSSだのSQLインジェクションだの、ちゃんとした基礎を持った香具師が設計すれば起きないだろ、常考。
54 :名無しさん@八周年:2008/04/07(月) 10:57:05 ID:ejWsikMB0
>>46
SQLって知ってますか?
SQLって知ってますか?
55 :名無しさん@八周年:2008/04/07(月) 10:57:06 ID:3HEPqWck0
>>49
ヒント:カード番号
ヒント:カード番号
56 :名無しさん@八周年:2008/04/07(月) 10:57:29 ID:rvZ/0C4f0
>>46
admin のパスワードを自分のアカウントから乗っ取るのが基本です。
つまり、犯人は管理者パスワードを乗っ取って、外部からDB管理者権限でデータを引き出した。
DB操作のプログラム上で、エスケープを明示化しとけば、こんな幼稚な手には引っかからない。
admin のパスワードを自分のアカウントから乗っ取るのが基本です。
つまり、犯人は管理者パスワードを乗っ取って、外部からDB管理者権限でデータを引き出した。
DB操作のプログラム上で、エスケープを明示化しとけば、こんな幼稚な手には引っかからない。
57 :名無しさん@八周年:2008/04/07(月) 10:57:44 ID:EnMcPwGu0
カード使わない俺勝ち組
58 :名無しさん@八周年:2008/04/07(月) 10:59:54 ID:645lqYG/0
ECサイトやら何件か構築に関わったら、怖くてネットで買い物ができなくなりました><
59 :名無しさん@八周年:2008/04/07(月) 11:00:39 ID:Fi+FqdRI0
これはSQLアプリケーションの側の問題なので、
管理者がいくら対策立てようと思っても
自分でSQLアプリを書ける奴でない限り無理と言うもの。
通を気取って安易にSQLとか使わないのが一番いいのだが。
管理者がいくら対策立てようと思っても
自分でSQLアプリを書ける奴でない限り無理と言うもの。
通を気取って安易にSQLとか使わないのが一番いいのだが。
60 :名無しさん@八周年:2008/04/07(月) 11:01:44 ID:ejWsikMB0
っていうか、文字列と変数の組み合わせでSQL組み立てようとするなよなw
62 :名無しさん@八周年:2008/04/07(月) 11:05:53 ID:Fi+FqdRI0
ネットワークエンジニアとやらが、十分な検証もしないままやるからこうなる。
ネットワークエンジニアは、ただ組めるだけでなく
セキュリティのスペシャリストでなければならない。
自分で、知られている・知られてないアタックを仕掛けて
採用しようとしているものが耐えられるかどうか検証しないとならない。
それもできない奴がネットワークなど組むからこうなる。
誰にも知られてないアタックを考えられる奴じゃないとダメだ。
ネットワークエンジニアは、ただ組めるだけでなく
セキュリティのスペシャリストでなければならない。
自分で、知られている・知られてないアタックを仕掛けて
採用しようとしているものが耐えられるかどうか検証しないとならない。
それもできない奴がネットワークなど組むからこうなる。
誰にも知られてないアタックを考えられる奴じゃないとダメだ。
64 :名無しさん@八周年:2008/04/07(月) 11:07:36 ID:3HEPqWck0
>>63
正解! 商品はカード無料再発行でーす!
正解! 商品はカード無料再発行でーす!
朝日新聞「竹島を韓国に譲れ」
「日本の竹島放棄論が公で提起されたのは今回が初めて」と韓国メディアが喜んで報じる
http://news18.2ch.net/test/read.cgi/news4plus/1111961416/
【人権擁護法案】「だが、心配のしすぎではないか」 「人権擁護委員に朝鮮総連など外国人が加わるのは自然」と朝日新聞
http://news18.2ch.net/test/read.cgi/news4plus/1122572302/
朝日新聞、捏造…問題の記者を「朝日の信頼揺るがす」と懲戒解雇
http://news19.2ch.net/test/read.cgi/newsplus/1125359538/
朝日新聞、曽我さんの夫の住所を盗み見て、無断で晒す
http://news2.2ch.net/newsplus/kako/1053/10532/1053230547.html
「自らが“発掘”し広めた慰安婦問題と、拉致問題をからめて論じる朝日新聞」
「朝日はどこまで拉致被害者とその家族を苦しめれば気が済むのか」と産経新聞
http://news22.2ch.net/test/read.cgi/newsplus/1173881620/
朝日新聞、8億3300万円の申告漏れ
http://news21.2ch.net/test/read.cgi/dqnplus/1180530141/
「事実解明なしで新聞社ですか」「ジャーナリズムの自殺行為」 朝日NHK問題、毎日新聞にまで批判される
http://news19.2ch.net/test/read.cgi/newsplus/1128099635/
「中国食品の“毒”は日本から来た」と朝日新聞社AERA…中国共産党機関紙・人民日報が紹介
http://news22.2ch.net/test/read.cgi/newsplus/1188296788/
朝日新聞、台湾を中国領として扱い、台北支局が包囲される
http://sv3.inacs.jp/bn/?2004120015757960001621.3407
「朝日のおごりを感じる」と毎日新聞
「慰安婦問題は、朝日新聞が歴史を捏造して報道したことから外交問題に発展」と読売新聞が指摘
http://tmp6.2ch.net/test/read.cgi/asia/1160973026/
慰安婦決議で新聞「猛反発」 朝日社説だけが「孤立」
http://news.livedoor.com/article/detail/3253662/
【言葉のチカ…】「読売新聞の記事が自分より優れていたから」と記事盗用
朝日新聞「ジャーナリストとして許されない」と謝罪会見→「ジャーナリスト宣言」自粛
http://news22.2ch.net/test/read.cgi/newsplus/1170339604/
http://news22.2ch.net/test/read.cgi/newsplus/1171081723/
言葉は感情的で、残酷で、ときに無力だ。それでも私たちは信じている、言葉のチカラを。 ジャーナリスト宣言
「日本の竹島放棄論が公で提起されたのは今回が初めて」と韓国メディアが喜んで報じる
http://news18.2ch.net/test/read.cgi/news4plus/1111961416/
【人権擁護法案】「だが、心配のしすぎではないか」 「人権擁護委員に朝鮮総連など外国人が加わるのは自然」と朝日新聞
http://news18.2ch.net/test/read.cgi/news4plus/1122572302/
朝日新聞、捏造…問題の記者を「朝日の信頼揺るがす」と懲戒解雇
http://news19.2ch.net/test/read.cgi/newsplus/1125359538/
朝日新聞、曽我さんの夫の住所を盗み見て、無断で晒す
http://news2.2ch.net/newsplus/kako/1053/10532/1053230547.html
「自らが“発掘”し広めた慰安婦問題と、拉致問題をからめて論じる朝日新聞」
「朝日はどこまで拉致被害者とその家族を苦しめれば気が済むのか」と産経新聞
http://news22.2ch.net/test/read.cgi/newsplus/1173881620/
朝日新聞、8億3300万円の申告漏れ
http://news21.2ch.net/test/read.cgi/dqnplus/1180530141/
「事実解明なしで新聞社ですか」「ジャーナリズムの自殺行為」 朝日NHK問題、毎日新聞にまで批判される
http://news19.2ch.net/test/read.cgi/newsplus/1128099635/
「中国食品の“毒”は日本から来た」と朝日新聞社AERA…中国共産党機関紙・人民日報が紹介
http://news22.2ch.net/test/read.cgi/newsplus/1188296788/
朝日新聞、台湾を中国領として扱い、台北支局が包囲される
http://sv3.inacs.jp/bn/?2004120015757960001621.3407
「朝日のおごりを感じる」と毎日新聞
「慰安婦問題は、朝日新聞が歴史を捏造して報道したことから外交問題に発展」と読売新聞が指摘
http://tmp6.2ch.net/test/read.cgi/asia/1160973026/
慰安婦決議で新聞「猛反発」 朝日社説だけが「孤立」
http://news.livedoor.com/article/detail/3253662/
【言葉のチカ…】「読売新聞の記事が自分より優れていたから」と記事盗用
朝日新聞「ジャーナリストとして許されない」と謝罪会見→「ジャーナリスト宣言」自粛
http://news22.2ch.net/test/read.cgi/newsplus/1170339604/
http://news22.2ch.net/test/read.cgi/newsplus/1171081723/
言葉は感情的で、残酷で、ときに無力だ。それでも私たちは信じている、言葉のチカラを。 ジャーナリスト宣言
66 :名無しさん@八周年:2008/04/07(月) 11:07:53 ID:NOJ6VDrJ0
サウンドハウスって、中国製の激安ピアノも売ってるよね。一回弾きに行ったことが
あるけど、もう筆舌に尽くしがたいほどボロだった。あんなもん安くても売るんじゃねー。
67 :名無しさん@八周年:2008/04/07(月) 11:09:36 ID:K+BfKaTo0
>>63
カード会社によっては対象者にお知らせ流して再発行の案内してるとこもある
カード会社によっては対象者にお知らせ流して再発行の案内してるとこもある
68 :名無しさん@八周年:2008/04/07(月) 11:11:39 ID:xdI7hHE7O
自分たちで攻撃して逮捕
69 :名無しさん@八周年:2008/04/07(月) 11:11:47 ID:5RY9DLkn0
SQLを使わない
70 :名無しさん@八周年:2008/04/07(月) 11:17:40 ID:NfY6JdV10
楽天から買った人たちも流出してる?
dot com dot com dot com dot dot dot dot com
74 :名無しさん@八周年:2008/04/07(月) 11:25:10 ID:YmuiSN6e0
SQLインジェクション残したままプログラムって馬鹿が作ったのか?
馬鹿が作ったか企業が金か納期をケチりまくったのどっちかだろwww
馬鹿が作ったか企業が金か納期をケチりまくったのどっちかだろwww
楽天でも被害にあって
今回もサウンドハウスでやられました。
リボ天井張り付きため実質被害はありませんが
良く考えたら流出前から俺\(^o^)/オワテタ
今回もサウンドハウスでやられました。
リボ天井張り付きため実質被害はありませんが
良く考えたら流出前から俺\(^o^)/オワテタ
77 :名無しさん@八周年:2008/04/07(月) 11:28:41 ID:zoyh0rMg0
SE:「いえこのサイトはまだβで導入試験中だったのです」
>>62 >>72
いまどきのSEは
「コミュニケーション能力(笑)」
とやらだけで採用されるからな
システム構築能力とかITリテラシーとか関係ないの
むしろそんなの知らなくて留年してたりして
「人生の引き出し(笑)」を持ってて酒の席で
笑わせられるやつが重宝されるからな
あきらめろ(笑)
いまどきのSEは
「コミュニケーション能力(笑)」
とやらだけで採用されるからな
システム構築能力とかITリテラシーとか関係ないの
むしろそんなの知らなくて留年してたりして
「人生の引き出し(笑)」を持ってて酒の席で
笑わせられるやつが重宝されるからな
あきらめろ(笑)
一応俺んとこにもサウンドハウスから
流出しますたメールが到着しました。
俺は07年1月1日以前に音屋に登録したかどうか
あいまいなんだけど、
カード会社のネットサイトで確認すると今のところ
身に覚えのない使用歴はないっぽい。
こういう場合でも一応カードって再発行したほうがいいの?
それとも一度サウンドハウスに電話して自分の情報が流出してるのか
確認したほうがいい?
それともサウンドハウスは無視して
直接カード会社に連絡して、事情話して再発行してもらったほうがいい?
んでさ、再発行にともなうデメリットってなにかある?
ポイントが消えちゃうとかある?
カード番号と暗証番号と有効期限が切り替わるだけ?
流出しますたメールが到着しました。
俺は07年1月1日以前に音屋に登録したかどうか
あいまいなんだけど、
カード会社のネットサイトで確認すると今のところ
身に覚えのない使用歴はないっぽい。
こういう場合でも一応カードって再発行したほうがいいの?
それとも一度サウンドハウスに電話して自分の情報が流出してるのか
確認したほうがいい?
それともサウンドハウスは無視して
直接カード会社に連絡して、事情話して再発行してもらったほうがいい?
んでさ、再発行にともなうデメリットってなにかある?
ポイントが消えちゃうとかある?
カード番号と暗証番号と有効期限が切り替わるだけ?
>>74
SQLインジェクションもそうだけど、パスワード流出・カード番号流出ってまず平文のまま保管してたって
ことだよね? それがすごい。
DBのアカウント管理もむちゃくちゃだったんだろうな。ちゃんと直したかな。
SQLインジェクションもそうだけど、パスワード流出・カード番号流出ってまず平文のまま保管してたって
ことだよね? それがすごい。
DBのアカウント管理もむちゃくちゃだったんだろうな。ちゃんと直したかな。
>>76
アプラスだよ
アプラスだよ
84 :名無しさん@八周年:2008/04/07(月) 11:38:17 ID:WNjm0TDL0
85 :名無しさん@八周年:2008/04/07(月) 11:39:27 ID:ONV03KKp0
86 :名無しさん@八周年:2008/04/07(月) 11:40:07 ID:ejWsikMB0
>>79
最近はどのクレ会社も簡単にリボ変更できる仕掛け入れまくりで、
支払い明細と一緒に送られるチラシにも
「リボ変更が便利でお得」みたいなフレーズが踊ってるからな。
さらに、一回でも入金額不足だと勝手にリボ変更する、なんて
規約改正してるし。
何がお得なんだよ、お得なのはお前らだけだろと小一時間問い詰めたいところだよな。
でも、クレ初心者は引っかかるんだろうな。
最近はどのクレ会社も簡単にリボ変更できる仕掛け入れまくりで、
支払い明細と一緒に送られるチラシにも
「リボ変更が便利でお得」みたいなフレーズが踊ってるからな。
さらに、一回でも入金額不足だと勝手にリボ変更する、なんて
規約改正してるし。
何がお得なんだよ、お得なのはお前らだけだろと小一時間問い詰めたいところだよな。
でも、クレ初心者は引っかかるんだろうな。
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
記
1. 概要
弊社が運営するインターネットショッピングサイトにおいて、過去に購入されたお客
様情報の一部が流出しているのではとのクレジットカード会社からの指摘を受け、セ
キュリティ対策を専門とする第三者機関に調査を依頼したところ、外部からの不正ア
クセスによりカード情報を含む個人情報が流出した可能性が高いとの報告がありまし
た。流出の経路としましては、中国からのアクセスが確認されております。これに基
づき、直ちに警察当局に被害届けを提出、経済産業省指定機関へ届出をすると共に、
クレジットカード会社と連携を取りながら対策を講じております。
2. 流出した情報について
2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数
122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内
カード情報保有データ27,743件)。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
・クレジットカード情報 (ご名義 /カード番号 /有効期限)
注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していな
い為、流出の危険はありません。また、ご住所、お電話番号に関しては、調査の結
果、流出の形跡はござ
いませんでした。
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
記
1. 概要
弊社が運営するインターネットショッピングサイトにおいて、過去に購入されたお客
様情報の一部が流出しているのではとのクレジットカード会社からの指摘を受け、セ
キュリティ対策を専門とする第三者機関に調査を依頼したところ、外部からの不正ア
クセスによりカード情報を含む個人情報が流出した可能性が高いとの報告がありまし
た。流出の経路としましては、中国からのアクセスが確認されております。これに基
づき、直ちに警察当局に被害届けを提出、経済産業省指定機関へ届出をすると共に、
クレジットカード会社と連携を取りながら対策を講じております。
2. 流出した情報について
2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数
122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内
カード情報保有データ27,743件)。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
・クレジットカード情報 (ご名義 /カード番号 /有効期限)
注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していな
い為、流出の危険はありません。また、ご住所、お電話番号に関しては、調査の結
果、流出の形跡はござ
いませんでした。
88 :名無しさん@八周年:2008/04/07(月) 11:40:56 ID:zoyh0rMg0
セキュリティ、品質 < 派遣確保、下請け確保
これが日本のIT
人売りだらけでまともなものは作れませんから
これが日本のIT
人売りだらけでまともなものは作れませんから
3. 現在の対応状況
セキュリティ対策を専門とする第三者機関からの提案に基づき、以下を実行しまし
た。
・WEBシステム構成の再設計 ・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置 ・24時間体制の不正アクセス監視
・ファイヤーウォールのアップグレード ・不正プログラムの除去
・データベースからカード情報を削除
4. お客様へのお願い
サウンドハウスのログインパスワードにつきましては、ログイン時に必ずリセットす
るような仕組みに変更しておりますので、次回ログイン時に再設定をお願いします。
その際、クレジットカード会社で使用しているログインパスワードとは異なるパス
ワードを選択してくださいますようお願い致します。尚、クレジットカードの登録を
されたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に
記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただく
ようお願い致します。万が一、お客さまのカード情報が第三者に不正利用され被害が
発生した場合には、お客さまのご負担は一切ございませんので、ご安心いただきます
ようお願い申し上げます。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
セキュリティ対策を専門とする第三者機関からの提案に基づき、以下を実行しまし
た。
・WEBシステム構成の再設計 ・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置 ・24時間体制の不正アクセス監視
・ファイヤーウォールのアップグレード ・不正プログラムの除去
・データベースからカード情報を削除
4. お客様へのお願い
サウンドハウスのログインパスワードにつきましては、ログイン時に必ずリセットす
るような仕組みに変更しておりますので、次回ログイン時に再設定をお願いします。
その際、クレジットカード会社で使用しているログインパスワードとは異なるパス
ワードを選択してくださいますようお願い致します。尚、クレジットカードの登録を
されたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に
記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただく
ようお願い致します。万が一、お客さまのカード情報が第三者に不正利用され被害が
発生した場合には、お客さまのご負担は一切ございませんので、ご安心いただきます
ようお願い申し上げます。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
もうおまえらが代わりにシステム構築してくれよ
91 :名無しさん@八周年:2008/04/07(月) 11:41:41 ID:ZPa+M/5R0
リベラル派(笑)が大好きな中国60年の輝かしい歴史!
-----------------------------------------------------------------
1949年 東トルキスタン侵略、占領(ウイグル大虐殺)、民族浄化継続中
1950年 大躍進、文化大革命3000万人大虐殺開始
1950年 朝鮮戦争参戦
1951年 チベット侵略、占領(チベット大虐殺)、民族浄化継続中
1959年 インド侵略(中印戦争)アクサイチン地方を占領
1969年 珍宝島領有権問題でソ連と武力衝突
1973年 中国軍艦が佐渡島に接近、ミサイル試射
1974年 ベトナム、パラセル諸島(西沙諸島)を軍事侵略、占領
1976年 カンボジア、クメール・ルージュによる大虐殺を強力支援
1979年 ベトナム侵略(中越戦争)、中国が懲罰戦争と表明
1988年 スプラトリー諸島(南沙諸島)を軍事侵略、占領
1989年 天安門事件
1992年 南沙諸島と西沙諸島の全てが中国領土と宣言
1995年 フィリピンのミスチーフ環礁を軍事侵略、占領
1996年 台湾総統選挙恫喝、台湾沖にミサイル攻撃
1997年 フィリピンのスカーボロ環礁の領有を宣言
1997年 日本の尖閣諸島の領有を宣言
2003年 スーダンのダルフール大虐殺を強力支援
2005年 日本EEZ内のガス資源を盗掘
-----------------------------------------------------------------
2007年現在でも、非漢族に対する大虐殺、婦女子を強制連行・中絶・不妊手術、
まさしく民族浄化を継続中である。
記録に残ってるだけでもこれだけあるのに、
「中国は歴史上、他国を侵略したり、他国の領土で殺人・放火をしたことはない」
が政府の声明。
侵略と虐殺の限りを尽くすナチより凶悪・残虐な中国共産党。
何でリベラル派は中国共産党との友好を主張できるの?
-----------------------------------------------------------------
1949年 東トルキスタン侵略、占領(ウイグル大虐殺)、民族浄化継続中
1950年 大躍進、文化大革命3000万人大虐殺開始
1950年 朝鮮戦争参戦
1951年 チベット侵略、占領(チベット大虐殺)、民族浄化継続中
1959年 インド侵略(中印戦争)アクサイチン地方を占領
1969年 珍宝島領有権問題でソ連と武力衝突
1973年 中国軍艦が佐渡島に接近、ミサイル試射
1974年 ベトナム、パラセル諸島(西沙諸島)を軍事侵略、占領
1976年 カンボジア、クメール・ルージュによる大虐殺を強力支援
1979年 ベトナム侵略(中越戦争)、中国が懲罰戦争と表明
1988年 スプラトリー諸島(南沙諸島)を軍事侵略、占領
1989年 天安門事件
1992年 南沙諸島と西沙諸島の全てが中国領土と宣言
1995年 フィリピンのミスチーフ環礁を軍事侵略、占領
1996年 台湾総統選挙恫喝、台湾沖にミサイル攻撃
1997年 フィリピンのスカーボロ環礁の領有を宣言
1997年 日本の尖閣諸島の領有を宣言
2003年 スーダンのダルフール大虐殺を強力支援
2005年 日本EEZ内のガス資源を盗掘
-----------------------------------------------------------------
2007年現在でも、非漢族に対する大虐殺、婦女子を強制連行・中絶・不妊手術、
まさしく民族浄化を継続中である。
記録に残ってるだけでもこれだけあるのに、
「中国は歴史上、他国を侵略したり、他国の領土で殺人・放火をしたことはない」
が政府の声明。
侵略と虐殺の限りを尽くすナチより凶悪・残虐な中国共産党。
何でリベラル派は中国共産党との友好を主張できるの?
2004年登録で今日カード再発行と同メルアド他所のパスワード書き換えやっとこうと思ったけど、
漏洩した登録時期が具体的になってきたよね。
これはセーフなのか、セーフそうだけど変更しとくに超したことはないのかどっちなんだろう
漏洩した登録時期が具体的になってきたよね。
これはセーフなのか、セーフそうだけど変更しとくに超したことはないのかどっちなんだろう
93 :名無しさん@八周年:2008/04/07(月) 11:46:02 ID:ejWsikMB0
>>82
悪いことには、パスワードを暗号化してDB登録することを
嫌う顧客が存在するんだよな。
問い合わせがあったときにすぐにわからないとか意味不明な理由で。
おまえらは、問い合わせあったらDB見てそのまま回答するのかとw
あぶないあぶない。
まぁ、ECサイトではないんだが、一般ユーザーも使うような
システムだったから、頭おかしいとは思いつつ客には逆らえないorz
悪いことには、パスワードを暗号化してDB登録することを
嫌う顧客が存在するんだよな。
問い合わせがあったときにすぐにわからないとか意味不明な理由で。
おまえらは、問い合わせあったらDB見てそのまま回答するのかとw
あぶないあぶない。
まぁ、ECサイトではないんだが、一般ユーザーも使うような
システムだったから、頭おかしいとは思いつつ客には逆らえないorz
94 :名無しさん@八周年:2008/04/07(月) 11:46:05 ID:+bou0ZZw0
ついに俺のところにもメール着た
初めての経験なのでドキドキしたけど
カード持ってないからまったく関係なかった
代引きマンセー
初めての経験なのでドキドキしたけど
カード持ってないからまったく関係なかった
代引きマンセー
95 :名無しさん@八周年:2008/04/07(月) 11:48:52 ID:ONV03KKp0
>>94
パスワードとかも漏れてるから全く関係ないって事は無いぞ。
パスワードとかも漏れてるから全く関係ないって事は無いぞ。
96 :名無しさん@八周年:2008/04/07(月) 11:49:14 ID:D0HHUYwG0
>>93
その客、頭おかしな...怖いわ(笑)
客の側も、せめて発注担当者は知識が必要って自覚しないとダメだよな。
お互い熱心で勉強してても、往々にして↓のような事態になるっていうのに。
ttp://www.mlexp.com/wiki/?Project%20Comedy
その客、頭おかしな...怖いわ(笑)
客の側も、せめて発注担当者は知識が必要って自覚しないとダメだよな。
お互い熱心で勉強してても、往々にして↓のような事態になるっていうのに。
ttp://www.mlexp.com/wiki/?Project%20Comedy
1月にここでアンプを買ったんだよ
まったくよう…
まったくよう…
いまどきSQLインジェクションはありえないと思うが、実際にはこんなもんか
カード関連会社に入ったら社員証がクレカだった。
でも渡される時の研修でキャッシングはするな、
ショッピングでも翌月1回以外は会社が儲けるだけ
と教えられたぞ
でも渡される時の研修でキャッシングはするな、
ショッピングでも翌月1回以外は会社が儲けるだけ
と教えられたぞ
>>93
顧客が勝手にパスワード忘れたのが悪いんだから、
カスタマーサポートの人員がテンパる必要なんて無いのにな。
仮パスワードをメールで送って、終了なんだが。
パスワード替えたかったら、勝手にログインして自己責任で書き換えろやって。
発注してくる偉い人は、普段から上司に呼び出されると
「いかにオマエが無能であるのか?」を小一時間説教されてテンパる人なんだろうなw
お金と労力の削減するポイントを間違ってるかんじ。
顧客が勝手にパスワード忘れたのが悪いんだから、
カスタマーサポートの人員がテンパる必要なんて無いのにな。
仮パスワードをメールで送って、終了なんだが。
パスワード替えたかったら、勝手にログインして自己責任で書き換えろやって。
発注してくる偉い人は、普段から上司に呼び出されると
「いかにオマエが無能であるのか?」を小一時間説教されてテンパる人なんだろうなw
お金と労力の削減するポイントを間違ってるかんじ。
そうそう。パスワードを使い回す例は非常に多いのよ。
106 :名無しさん@八周年:2008/04/07(月) 12:10:00 ID:3nLkZe3p0
インジェクション♪ インジェクション♪
ガソリン節約、インジェクション♪
ガソリン節約、インジェクション♪
メルアドは同じの使ってるとこあったけど、ログインパスワードは同じの使ってるサイトはなかった。
念のため同じメルアド使ってるサイトは違うアドレスに登録し直したけど。
念のため同じメルアド使ってるサイトは違うアドレスに登録し直したけど。
108 :名無しさん@八周年:2008/04/07(月) 12:11:42 ID:WNjm0TDL0
109 :世界童貞( `皿´)ノ ◆gCzWcc5J8U :2008/04/07(月) 12:12:48 ID:dh2awDIB0
同じメアドと、パスで登録しまくりんぐだけど、もはや、どこのサイトで登録しているか
さっぱりわからん。どうしよう。一度しか利用していないサイトっておまえらもあるでしょ?
さっぱりわからん。どうしよう。一度しか利用していないサイトっておまえらもあるでしょ?
110 :名無しさん@八周年:2008/04/07(月) 12:15:24 ID:xEo73m720
【中国】サウンドハウス 個人情報の流出について 2【音家】
http://namidame.2ch.net/test/read.cgi/news/1207316400/l50
【ネット】「クレジットカード情報も」 楽器通販のサウンドハウス、外部からの不正アクセスにより利用者の情報が流出
http://mamono.2ch.net/test/read.cgi/newsplus/1207307849/l50
サウンドハウスからクレジットカード情報流出 Part2
http://life9.2ch.net/test/read.cgi/credit/1207387336/l50
【音屋】サウンドハウス Part3【個人情報流出】
http://pc11.2ch.net/test/read.cgi/dtm/1207287433/l50
http://namidame.2ch.net/test/read.cgi/news/1207316400/l50
【ネット】「クレジットカード情報も」 楽器通販のサウンドハウス、外部からの不正アクセスにより利用者の情報が流出
http://mamono.2ch.net/test/read.cgi/newsplus/1207307849/l50
サウンドハウスからクレジットカード情報流出 Part2
http://life9.2ch.net/test/read.cgi/credit/1207387336/l50
【音屋】サウンドハウス Part3【個人情報流出】
http://pc11.2ch.net/test/read.cgi/dtm/1207287433/l50
112 :名無しさん@八周年:2008/04/07(月) 12:17:28 ID:tc/Ds9jw0
カード使用履歴のチェック方法
- 3/11日以降の履歴を入念に
- 4/03の夕方の時点でも、不法使用が発生してます(現在進行形の被害拡大)
- 請求先が、ガンホー、コーエーネット、MK-STYLEなどの
中華マフィアの温床的なゲームサイトなら、ビンゴ!!
すでに、現金化されたと思われます。
- 1万程度の使用を短時間に繰り返す (被害額は、 5万〜80万との報告)
- 1円請求で、カードの生死をチェックした痕跡もあり
- 3/11日以降の履歴を入念に
- 4/03の夕方の時点でも、不法使用が発生してます(現在進行形の被害拡大)
- 請求先が、ガンホー、コーエーネット、MK-STYLEなどの
中華マフィアの温床的なゲームサイトなら、ビンゴ!!
すでに、現金化されたと思われます。
- 1万程度の使用を短時間に繰り返す (被害額は、 5万〜80万との報告)
- 1円請求で、カードの生死をチェックした痕跡もあり
>>108
どの業種にも言える事だよソレ(苦笑)
どの業種にも言える事だよソレ(苦笑)
114 :名無しさん@八周年:2008/04/07(月) 12:17:39 ID:ejWsikMB0
115 :名無しさん@八周年:2008/04/07(月) 12:18:45 ID:zoyh0rMg0
まあかき集められた派遣請負なんてまったく責任取らないからいい加減な仕事してるんだけど
上の方ってそれ知らないんだよな
テストフェーズとかも10段階のうち3ぐらいは飛ばしちゃおう時間無いし・・・みたいな事現場ではいっぱいある
上の方ってそれ知らないんだよな
テストフェーズとかも10段階のうち3ぐらいは飛ばしちゃおう時間無いし・・・みたいな事現場ではいっぱいある
116 :名無しさん@八周年:2008/04/07(月) 12:28:55 ID:YQsYBHp7O
中の人は地獄だろうね…同情するわー
117 :名無しさん@八周年:2008/04/07(月) 12:31:03 ID:WNjm0TDL0
118 :名無しさん@八周年:2008/04/07(月) 12:33:04 ID:uMQOAkIf0
>>17
perlだから防げるという問題じゃねーよ とperl使ってる人間がマジレスしてみる。
perlだから防げるという問題じゃねーよ とperl使ってる人間がマジレスしてみる。
119 :名無しさん@八周年:2008/04/07(月) 12:33:54 ID:kH7QGozH0
ってかDBにカード番号を入れておく意味あるんか?
決済の時になるべく入力を少なくさせたいってのはわからんでもないが
無理に入れておかなくてもそれほど問題ないだろうにと思うんだが
決済の時になるべく入力を少なくさせたいってのはわからんでもないが
無理に入れておかなくてもそれほど問題ないだろうにと思うんだが
120 :名無しさん@八周年:2008/04/07(月) 12:33:57 ID:TcpTAbq8O
今時、SQLインジェクションの対策もしてないなんて、どこのアホだよwwww
SQLインジェクション(笑)
って程度の攻撃だろ、これ・・・。いまさらこんなの喰らうってどんだけなサイトだよ。
って程度の攻撃だろ、これ・・・。いまさらこんなの喰らうってどんだけなサイトだよ。
122 :名無しさん@八周年:2008/04/07(月) 12:38:31 ID:owrmOiUK0
カード番号は蓄積しないほうがいいよなぁ
毎回入れてもそんなに不評はかわんだろ。
毎回入れてもそんなに不評はかわんだろ。
この中国からの大規模SQLインジェクション攻撃は
MicrosoftのASPの弱点を攻撃しているのだが
この事がニュースで触れられることはほとんどない
MicrosoftのASPの弱点を攻撃しているのだが
この事がニュースで触れられることはほとんどない
124 :名無しさん@八周年:2008/04/07(月) 12:40:23 ID:zoyh0rMg0
毎回入れるのも危険なんだけどこれじゃどっちが危険かわからんな
125 :名無しさん@八周年:2008/04/07(月) 12:42:59 ID:3nLkZe3p0
毎回入れるのが危険って、サイトと自分のどっちを信じるんだ?
サウンドハウスから昨日一回目、さっき二回目のお知らせメールが来た
早速カード止めた、話通り再発行料無料だが新カード届くまで十日かかると
色んな支払いに使ってるカードだからちょっと面倒だな
お詫びに割引券でもくれないかな、ゼンハイザーのHD25が欲しいんだが
早速カード止めた、話通り再発行料無料だが新カード届くまで十日かかると
色んな支払いに使ってるカードだからちょっと面倒だな
お詫びに割引券でもくれないかな、ゼンハイザーのHD25が欲しいんだが
130 :名無しさん@八周年:2008/04/07(月) 12:49:03 ID:zoyh0rMg0
毎回入れるって事は自宅のPC以外でも入れなきゃならなくなるから
職場やネカフェから仕方なく利用する人もいるでしょ
毎回入れてるのはかなり危険
職場やネカフェから仕方なく利用する人もいるでしょ
毎回入れてるのはかなり危険
こんな馬鹿ばかりじゃどうしようもねぇ
中国のスクリプト小僧に簡単にやられるのも当然だな
中国のスクリプト小僧に簡単にやられるのも当然だな
133 :名無しさん@八周年:2008/04/07(月) 12:51:56 ID:L9erVi7yO
>128
検証フェーズかもしれん
最近品質管理でテストを中国に依存する率高くなってきたから
日本の会社に頼んでもさらにその下請けで・・・とかざらにある
検証フェーズかもしれん
最近品質管理でテストを中国に依存する率高くなってきたから
日本の会社に頼んでもさらにその下請けで・・・とかざらにある
136 :名無しさん@八周年:2008/04/07(月) 12:59:56 ID:3nLkZe3p0
Windowsも中国人のコードによって、、、IMEなんてその最たるものだったじゃん。
unixでもフリーな世界は危険だよ。ソースが見えていても平気で仕込むんじゃね?
unixでもフリーな世界は危険だよ。ソースが見えていても平気で仕込むんじゃね?
137 :名無しさん@八周年:2008/04/07(月) 13:00:18 ID:gIrxldVS0
5年ほど前にここでイヤホン買ったけど、
「2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ」
に該当しないから大丈夫なんかな?
「2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ」
に該当しないから大丈夫なんかな?
138 :名無しさん@八周年:2008/04/07(月) 13:01:59 ID:EnMcPwGu0
>>137
俺登録変更行ったんだけどそれも駄目なのかな…
俺登録変更行ったんだけどそれも駄目なのかな…
139 :名無しさん@八周年:2008/04/07(月) 13:06:16 ID:5zslWErx0
中国はスパイウェアの最大の被害国w
http://j.peopledaily.com.cn/2008/04/03/jp20080403_86274.html
http://j.peopledaily.com.cn/2008/04/03/jp20080403_86274.html
ステートメントで特別な意味のある記号をエスケープしなかったとか、そういう話?
どっかのアダルトグッズサイトでは
〜.com/?sql=select+name,tel+from〜
でSQL実行できる開発テストに優しい環境だった
Hacker Safeって意味ないんだなと実感するな。
SQLインジェクションでやられるなんて、McAfee涙目だろw
SQLインジェクションでやられるなんて、McAfee涙目だろw
144 :名無しさん@八周年:2008/04/07(月) 13:12:05 ID:3G3mEnfV0
音屋使用暦のある人は全員再発行を推奨します
333 名前:315[] 投稿日:2008/04/07(月) 11:48:32
カード会社は楽天
3/25 不正利用(オンラインゲーム約60万)
3/27 楽天モニター室から電話。
風俗行ったかとかゴルフ場いったかだの散々聴取される。
で、不正に使われたということで強制停止の再発行へ。
しかし調査等が済むまで1ヶ月以上掛かるから我慢しろよと。
4/1 楽天から強制停止お知らせ一斉メール。(この時点より前に既に強制停止)
4/3 音家お漏らしやっちゃいました宣言
4/7 再発行の手続きとか時間も変わるのかと思いさっき楽天に電話してみると
「音家お漏らしリストにはあんたの名前はない、
一応、音家利用者なんでカードの再発行はしてあげます。」
不正利用の調査した上、再審査など含めて時間は1ヶ月以上かかるよと念押し。
俺ポカーン。
音家に電話。リストに名前ありの回答。
どうなってるんですかね〜俺ニヤニヤ。
一旦楽天に問い合わせて折り返し連絡するということで電話切られる。
そして
「その件に付きまして、折り返し楽天から電話がありますので
宜しくお願い致します」と用件を早口で喋り電話切られる。
音家スタコラサッサー
360 名前:315[] 投稿日:2008/04/07(月) 12:30:49
>>333の続き
楽天から連絡あり
カード会社に回ってるリストは
緊急に止める必要がある特に危ない人のリストらしい。
俺のように既に不正利用されたとしても
リストに載らない人もいるらしい。
結局、再発行はめんどくさい手順のまま・・・
音家どうなんだろな実際の調査ってオイッ
333 名前:315[] 投稿日:2008/04/07(月) 11:48:32
カード会社は楽天
3/25 不正利用(オンラインゲーム約60万)
3/27 楽天モニター室から電話。
風俗行ったかとかゴルフ場いったかだの散々聴取される。
で、不正に使われたということで強制停止の再発行へ。
しかし調査等が済むまで1ヶ月以上掛かるから我慢しろよと。
4/1 楽天から強制停止お知らせ一斉メール。(この時点より前に既に強制停止)
4/3 音家お漏らしやっちゃいました宣言
4/7 再発行の手続きとか時間も変わるのかと思いさっき楽天に電話してみると
「音家お漏らしリストにはあんたの名前はない、
一応、音家利用者なんでカードの再発行はしてあげます。」
不正利用の調査した上、再審査など含めて時間は1ヶ月以上かかるよと念押し。
俺ポカーン。
音家に電話。リストに名前ありの回答。
どうなってるんですかね〜俺ニヤニヤ。
一旦楽天に問い合わせて折り返し連絡するということで電話切られる。
そして
「その件に付きまして、折り返し楽天から電話がありますので
宜しくお願い致します」と用件を早口で喋り電話切られる。
音家スタコラサッサー
360 名前:315[] 投稿日:2008/04/07(月) 12:30:49
>>333の続き
楽天から連絡あり
カード会社に回ってるリストは
緊急に止める必要がある特に危ない人のリストらしい。
俺のように既に不正利用されたとしても
リストに載らない人もいるらしい。
結局、再発行はめんどくさい手順のまま・・・
音家どうなんだろな実際の調査ってオイッ
なんだかんだ言っても機材は最安値
サウンドハウス、中国なんかに負けるなよ。
サウンドハウス、中国なんかに負けるなよ。
147 :名無しさん@八周年:2008/04/07(月) 13:15:06 ID:r9Eq8uWd0
マカフィーは何をやってたんだ。
こんなことがあっても、マカフィーは謝罪文さえ掲載しないんだな。
終わってる糞セキュリティ
こんなことがあっても、マカフィーは謝罪文さえ掲載しないんだな。
終わってる糞セキュリティ
148 :名無しさん@八周年:2008/04/07(月) 13:15:55 ID:Tp5BJaOp0
SQLインジェクション対策とってないとは…
素人の仕事としか言い様がない
素人の仕事としか言い様がない
ああ、なんかメールきてたな。
こんな大事なってんのか。
300円程度のボルトみたいなん一個現金で買ったことあるだけの俺には関係ねーっすね。
こんな大事なってんのか。
300円程度のボルトみたいなん一個現金で買ったことあるだけの俺には関係ねーっすね。
>SQLインジェクション
懐かしいな
古典的クラック手法だと思うけど
ことさらに中国批判をするより
脆弱なシステムを設計した側を非難すべき
懐かしいな
古典的クラック手法だと思うけど
ことさらに中国批判をするより
脆弱なシステムを設計した側を非難すべき
151 :名無しさん@八周年:2008/04/07(月) 13:17:56 ID:zHYDP4LV0
アホが多い今の世の中では「中国から〜」と言えば批判が弱まる。
>>78
そんなお調子者にSE任せられるなら、落ちこぼれPGのままいいや…
そんなお調子者にSE任せられるなら、落ちこぼれPGのままいいや…
153 :名無しさん@八周年:2008/04/07(月) 13:19:07 ID:zoyh0rMg0
とりあえず今の時代は全て小泉と中国のせいにしとけば全てはうまくいくよ
>>145
事実誤認
事実誤認
156 :名無しさん@八周年:2008/04/07(月) 13:21:53 ID:ejWsikMB0
まぁ、仕様どおりのDB操作ができればUTオッケーとかになって、
統合テストでもセキュリティに関するてすとはしないんだろうからな。
実はそんなシステムばっかなんだろうな。
統合テストでもセキュリティに関するてすとはしないんだろうからな。
実はそんなシステムばっかなんだろうな。
てか、海外に接続できないように、中国政府ってIP遮断してるんじゃないの?
それとも国家ぐるみで犯罪してるの?
それとも国家ぐるみで犯罪してるの?
159 :名無しさん@八周年:2008/04/07(月) 13:33:53 ID:kH7QGozH0
入力された値のチェックもしないようなプログラムを組む時点でどうかと思うんだが
◆システムメンテナンスのお知らせ
システムメンテナンスのため、ホームページを一時的に停止しております。
ご迷惑をお掛けいたしますが、何卒ご了承頂きたくお願い申し上げます。
今後とも一層のご愛顧を賜りますようお願い申し上げます。
http://www.soundhouse.co.jp/index.asp
何を今更・・・
システムメンテナンスのため、ホームページを一時的に停止しております。
ご迷惑をお掛けいたしますが、何卒ご了承頂きたくお願い申し上げます。
今後とも一層のご愛顧を賜りますようお願い申し上げます。
http://www.soundhouse.co.jp/index.asp
何を今更・・・
これって入力したSQL文をそのまま実行させちゃうやつだろ
初歩的なミスじゃん
初歩的なミスじゃん
>>128
確かに、意図的にバグを残して、そのバグを利用して攻撃するということは
考えられるよね。
中国人だとやりかねないと思ってしまう自分が怖い。w
>>129
だね。
自分もシステム開発してるけど、完全なソースコードレビューやテストって
時間的に中々難しいのが現状だけど、もっと気合入れてやらないと駄目だね。
まー、オフショアなんて全くしてないんだけど。w
確かに、意図的にバグを残して、そのバグを利用して攻撃するということは
考えられるよね。
中国人だとやりかねないと思ってしまう自分が怖い。w
>>129
だね。
自分もシステム開発してるけど、完全なソースコードレビューやテストって
時間的に中々難しいのが現状だけど、もっと気合入れてやらないと駄目だね。
まー、オフショアなんて全くしてないんだけど。w
163 :名無しさん@八周年:2008/04/07(月) 13:40:16 ID://Xp9Ryg0
音屋傘下システム屋の ゆとり PG 乙!!
仕様に無いパラメーターを受け付けるようになってるんじゃね?
ソースコードを読まなきゃ発見不可能なバックドアかもね。
明確なバックドアだとやばいから、そんな穴の形で用意された仕込みだったら
ほぼバレないだろうな。かなり詳細なテストだってくぐり抜けちまうだろう。
ソースコードを読まなきゃ発見不可能なバックドアかもね。
明確なバックドアだとやばいから、そんな穴の形で用意された仕込みだったら
ほぼバレないだろうな。かなり詳細なテストだってくぐり抜けちまうだろう。
FC2のブログもSQLでウィルス仕込まれてるって話が前にあったな
オンラインゲームのキャラを盗むらしい
オンラインゲームのキャラを盗むらしい
166 :名無しさん@八周年:2008/04/07(月) 13:53:03 ID:0CNkwKmd0
今月に限って140万の枠、超えて使っていたから
犯人使おうとしても、使えなかったのかな?
犯人使おうとしても、使えなかったのかな?
167 :名無しさん@八周年:2008/04/07(月) 14:00:15 ID:8Cxiz0O10
メジャーな攻撃手法だから笑えるけど、中国は国家でクラッカー育成してるようだから、
他人事だと笑ってられないよ。
他人事だと笑ってられないよ。
168 :名無しさん@八周年:2008/04/07(月) 14:01:05 ID:RnThJZ5j0
餃子でご迷惑をおかけしていることだし、あまり大きく騒いで被害者ぶるのはどうかと思う。
170 :名無しさん@八周年:2008/04/07(月) 14:05:05 ID:8Cxiz0O10
何よりも問題は、中国が全くこの手の事件で捜査したり、解決したという話を聞かないこと。
国家で犯罪やって外貨稼ぎやってんじゃないのか?
国家で犯罪やって外貨稼ぎやってんじゃないのか?
>サウンドハウスで今度は氏名ダダ漏れの可能性
>サウンドハウスの「お友達に勧める」機能。
>これを悪用すれば以前話題になったAmazonの「お友だちに知らせる」機能と同じようなことが起こる
http://d.hatena.ne.jp/cookpy/20080407/1207540918
>サウンドハウスのサイトトップページ。13時20分時点では「システムメンテナンス中」となっている
http://internet.watch.impress.co.jp/cda/news/2008/04/07/19110.html
>サウンドハウスの「お友達に勧める」機能。
>これを悪用すれば以前話題になったAmazonの「お友だちに知らせる」機能と同じようなことが起こる
http://d.hatena.ne.jp/cookpy/20080407/1207540918
>サウンドハウスのサイトトップページ。13時20分時点では「システムメンテナンス中」となっている
http://internet.watch.impress.co.jp/cda/news/2008/04/07/19110.html
172 :名無しさん@八周年:2008/04/07(月) 14:06:56 ID:kH7QGozH0
173 :名無しさん@八周年:2008/04/07(月) 14:07:02 ID:zoyh0rMg0
自宅鯖立ててみればいかに中国からのアタックが多いかがわかる
下手するとログの9割ぐらいが中華アタックになってたりするw
下手するとログの9割ぐらいが中華アタックになってたりするw
174 :名無しさん@八周年:2008/04/07(月) 14:11:17 ID:EnMcPwGu0
>>173
日本政府も中国からのアクセスを遮断すればいいのに
日本政府も中国からのアクセスを遮断すればいいのに
また、中国か。
毒餃子のくせして。
チベットがんばれ
毒餃子のくせして。
チベットがんばれ
176 :名無しさん@八周年:2008/04/07(月) 14:18:17 ID:ONV03KKp0
SQLインジェクションを舐めてる奴多いな。
エスケープ位しろよとか甘すぎだ。
多分そう言ってる奴のサイトもエスケープしてるつもりで出来てないサイトが多いんだろうな。
決してド素人ではない、セキュリティー専門家ともいえるサイトも陥落しているんだ。
最近増えてるし全然過去の問題じゃねーよ。
エスケープ位しろよとか甘すぎだ。
多分そう言ってる奴のサイトもエスケープしてるつもりで出来てないサイトが多いんだろうな。
決してド素人ではない、セキュリティー専門家ともいえるサイトも陥落しているんだ。
最近増えてるし全然過去の問題じゃねーよ。
PHPの問題と言うより、SQLの問題な気がする。
PerlだろうがCだろうが、Rubyだろうが同様の問題は出るだろうよ。
参考までに、今年の初めに流行したワーム:
http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGIC_jaJP267JP267&q=fuckjp%2ejs
PerlだろうがCだろうが、Rubyだろうが同様の問題は出るだろうよ。
参考までに、今年の初めに流行したワーム:
http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGIC_jaJP267JP267&q=fuckjp%2ejs
179 :名無しさん@八周年:2008/04/07(月) 14:29:19 ID:ONV03KKp0
180 :名無しさん@八周年:2008/04/07(月) 14:29:42 ID:mcj2HMUc0
ここって中国メーカーのパールリバーってところのピアノを扱ってるんだよね
ラックが警告、主にASPアプリケーションが狙いに
ttp://www.atmarkit.co.jp/news/200803/12/sqlinjection.html
だって。
最近Javaしかやってないから良く分からないけど、ASPってそんな
にバグできやすいのかな?
ttp://www.atmarkit.co.jp/news/200803/12/sqlinjection.html
だって。
最近Javaしかやってないから良く分からないけど、ASPってそんな
にバグできやすいのかな?
>>179
入力項目が網羅できない仕様なんてあるわけないだろ。バカかおまえ。
入力項目が網羅できない仕様なんてあるわけないだろ。バカかおまえ。
186 :名無しさん@八周年:2008/04/07(月) 14:35:36 ID:kH7QGozH0
>>185
そう思うならクレジットカード番号なんてモノを生データのままDBに保管するのはやめればいいのに
そう思うならクレジットカード番号なんてモノを生データのままDBに保管するのはやめればいいのに
187 :名無しさん@八周年:2008/04/07(月) 14:35:57 ID:ONV03KKp0
>>184
思いもよらない方法があるんだよ。
思いもよらない方法があるんだよ。
>>ONV03KKp0
おまえんとこのスキルを世間一般だと思われると、痛すぎる
テストってなんのためにするの?w
おまえんとこのスキルを世間一般だと思われると、痛すぎる
テストってなんのためにするの?w
189 :名無しさん@八周年:2008/04/07(月) 14:37:46 ID:8Cxiz0O10
中国か・・・今、中国で仕事請け負ってる開発会社多いね。
中国人社員が自分で穴を作っておいて、仲間がそれを攻撃するとかもできるし、
しかも餃子みたらわかるが、政府も捜査なんかしないからつかまることもない。
中国公安も「日本ざまぁww」くらいの感じだろう。
中国人社員が自分で穴を作っておいて、仲間がそれを攻撃するとかもできるし、
しかも餃子みたらわかるが、政府も捜査なんかしないからつかまることもない。
中国公安も「日本ざまぁww」くらいの感じだろう。
>>176
手抜きでエスケープ仕切れてないんだろうな。
Webアプリ本体だけじゃなくて、WAFやIDSでアプリ周りのぁゃしい文字のチェックと
データベースそのものの対策(アカウントの分離とか権限の最小化)もされてれば
まずこの手のクラックにはひっかからないはずなんだが。
手抜きでエスケープ仕切れてないんだろうな。
Webアプリ本体だけじゃなくて、WAFやIDSでアプリ周りのぁゃしい文字のチェックと
データベースそのものの対策(アカウントの分離とか権限の最小化)もされてれば
まずこの手のクラックにはひっかからないはずなんだが。
192 :名無しさん@八周年:2008/04/07(月) 14:39:19 ID:kH7QGozH0
>>190
いや、おまいが音家のアプリ修正してやれっていうからよ
いや、おまいが音家のアプリ修正してやれっていうからよ
しかたない。結論をいおう
・SQLインジェクションで破られるサイトはカス
多数のマジメなサイトは金かけて対策している
・しかし、SQLインジェクション対策は結構大変
SQLインジェクション対策を簡単とかいってるやつは実際に対策したことがないやつ
・SQLインジェクションで破られるサイトはカス
多数のマジメなサイトは金かけて対策している
・しかし、SQLインジェクション対策は結構大変
SQLインジェクション対策を簡単とかいってるやつは実際に対策したことがないやつ
中国ってスーパーハッカーが多いの?
196 :名無しさん@八周年:2008/04/07(月) 14:41:47 ID:ONV03KKp0
>>194
ツールが出回っている
ツールが出回っている
大変なのは馬鹿が作った既に稼働してるアプリを修正する事だ
それと現場からおまえらのような馬鹿を排除することも難しい
それと現場からおまえらのような馬鹿を排除することも難しい
199 :名無しさん@八周年:2008/04/07(月) 14:44:19 ID:ONV03KKp0
>>194
違法コピーが当たり前でトロイなんか仕込まれてる場合も多く踏み台も多い。
違法コピーが当たり前でトロイなんか仕込まれてる場合も多く踏み台も多い。
200 :名無しさん@八周年:2008/04/07(月) 14:44:43 ID:kH7QGozH0
202 :名無しさん@八周年:2008/04/07(月) 14:47:50 ID:kH7QGozH0
idとpassの流出がいてー
俺だいたいそれつかってるのに・・・
俺だいたいそれつかってるのに・・・
言い合いしてるやつら、お前らまだまだ二流のガキだぞ
よくある、プログラマどおしのオレが正しいの言い合い
一流はかならず妥協点をみつける、それが仕事を終わらせる近道だからだ
よくある、プログラマどおしのオレが正しいの言い合い
一流はかならず妥協点をみつける、それが仕事を終わらせる近道だからだ
>>202
それ全然SQLインジェクションの対策になってないんだけど?w
それ全然SQLインジェクションの対策になってないんだけど?w
207 :名無しさん@八周年:2008/04/07(月) 14:49:38 ID:ONV03KKp0
まぁテストはHacker Safeという専門家にやらせてたようだが
それで検知できない物だったと言うことだ。
Hacker Safeのサイト見てみたら個人情報漏洩保険付きなんだな。
保険が降りるから音家はノーダメージってことか。
それで検知できない物だったと言うことだ。
Hacker Safeのサイト見てみたら個人情報漏洩保険付きなんだな。
保険が降りるから音家はノーダメージってことか。
208 :名無しさん@八周年:2008/04/07(月) 14:50:21 ID:kH7QGozH0
209 :名無しさん@八周年:2008/04/07(月) 14:51:57 ID:q5vpWiHA0
>>193でFAだろ
>>204
パスワードってだいたい不可逆暗号で保存するもんだが、生だったのかな
だとしたら、俺もそっちの方がかなり痛いかも・・・。
SQLインジェクション問題だけじゃないな、ここのセキュリティに対する認識の甘さは
パスワードってだいたい不可逆暗号で保存するもんだが、生だったのかな
だとしたら、俺もそっちの方がかなり痛いかも・・・。
SQLインジェクション問題だけじゃないな、ここのセキュリティに対する認識の甘さは
212 :名無しさん@八周年:2008/04/07(月) 14:53:43 ID:xfrkcjLR0
>>212
つーか文字列連結で SQL 組み立てんな。
つーか文字列連結で SQL 組み立てんな。
214 :名無しさん@八周年:2008/04/07(月) 14:57:47 ID:WNjm0TDL0
>>213
平気でやる奴多いよね
平気でやる奴多いよね
>>212
ダメ。色々あるけど例えばマルチバイト文字の処理をどうするかってこともある
でしょ。プラスそれをどのレベルまでやるかということよん。
SQLインジェクションというのは対策は難しくはないんだが兎に角面倒なんだよ。
どの対策でも絶対ということはないけど、複数の対策を併用して丁寧にかけて
おくことで防御効果が飛躍的に高まる。
但し当然鯖に負荷がかかるし、手間もかかるから金がかかる、その辺の問題
じゃないかな。トレンドマイクロHPの改竄についても、その辺の詰めが甘かった
だけの事で特別な事は何もない。
ダメ。色々あるけど例えばマルチバイト文字の処理をどうするかってこともある
でしょ。プラスそれをどのレベルまでやるかということよん。
SQLインジェクションというのは対策は難しくはないんだが兎に角面倒なんだよ。
どの対策でも絶対ということはないけど、複数の対策を併用して丁寧にかけて
おくことで防御効果が飛躍的に高まる。
但し当然鯖に負荷がかかるし、手間もかかるから金がかかる、その辺の問題
じゃないかな。トレンドマイクロHPの改竄についても、その辺の詰めが甘かった
だけの事で特別な事は何もない。
217 :名無しさん@八周年:2008/04/07(月) 14:58:54 ID:q5vpWiHA0
>>212
単純にホワイトリストで入力値チェックやったりサニタイジングで適切なエスケープしても
複雑なDB構成の場合はテストパターンが膨大になってかなり面倒なのは事実
実際にはある程度のラインまでしかテストしないのが現状
今回はどのレベルまで対策していたのかはわからんがね
219 :名無しさん@八周年:2008/04/07(月) 15:03:39 ID:ONV03KKp0
>>212
全然ダメ。それだと\付けるだけで破られる。
=1\' and 1
の'を\'にエスケープすると
=1\\' and 1
になって終わり。
他にも文字コードの変換やらで一筋縄じゃ行かない。
今回は相当なテストをやってるようだよ。
ハッカーセーフのサイトによれば。
それでもダメだった。
本当にハッカーセーフに登録してたか怪しいもんだが。
全然ダメ。それだと\付けるだけで破られる。
=1\' and 1
の'を\'にエスケープすると
=1\\' and 1
になって終わり。
他にも文字コードの変換やらで一筋縄じゃ行かない。
今回は相当なテストをやってるようだよ。
ハッカーセーフのサイトによれば。
それでもダメだった。
本当にハッカーセーフに登録してたか怪しいもんだが。
>>211
認識が甘いとかじゃなくて、単にバカなんじゃないかって気がしてきたよ
↓ 客への反論だけど、
/// 掲示板からの引用スタート
貴重なご指摘、ありがとうございます。弊社も今回の不正侵入を機に、勉強不足であったことを謙虚に認め、
今後はできる限りの対策を行っていく所存です。差し支えなければ、例えば通販ショップの中でも、xxxx社は
完全にハッカーフリーの対策を実施しているという事例がありましたら、教えてください。
多数の販売店が今をもって被害を被っている、ということを聞いており、色々な事例から学びたいと考えております。
例えば、ウィルス対策で有名なトレンドマイクロ社も、弊社と同時期、3月12日にSQLインジェクションによって攻撃を受け、
弊社と同様に中国から設置されたサーバーから○○○○jp.jsを読み込むスクリプトタグが埋め込まれていたことは、周知
の事実です。上場企業、しかもセキュリティー対策の会社が自ら被害を被っています。するとT社だけでなく、その他、同時期
に攻撃を受けた会社も世間の「笑い者」になるとは、とても思えません。
また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
/// 引用エンド
インジェクションがどうとか言うのアホらしいレベル。 DB管理や構成が悪いとかまるで念頭にない。
認識が甘いとかじゃなくて、単にバカなんじゃないかって気がしてきたよ
↓ 客への反論だけど、
/// 掲示板からの引用スタート
貴重なご指摘、ありがとうございます。弊社も今回の不正侵入を機に、勉強不足であったことを謙虚に認め、
今後はできる限りの対策を行っていく所存です。差し支えなければ、例えば通販ショップの中でも、xxxx社は
完全にハッカーフリーの対策を実施しているという事例がありましたら、教えてください。
多数の販売店が今をもって被害を被っている、ということを聞いており、色々な事例から学びたいと考えております。
例えば、ウィルス対策で有名なトレンドマイクロ社も、弊社と同時期、3月12日にSQLインジェクションによって攻撃を受け、
弊社と同様に中国から設置されたサーバーから○○○○jp.jsを読み込むスクリプトタグが埋め込まれていたことは、周知
の事実です。上場企業、しかもセキュリティー対策の会社が自ら被害を被っています。するとT社だけでなく、その他、同時期
に攻撃を受けた会社も世間の「笑い者」になるとは、とても思えません。
また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
/// 引用エンド
インジェクションがどうとか言うのアホらしいレベル。 DB管理や構成が悪いとかまるで念頭にない。
221 :名無しさん@八周年:2008/04/07(月) 15:05:32 ID:YmuiSN6e0
セキュリティ検証会社作っていろんなとこに試して、重大なセキュリティバグが発見されました
詳しい報告書、再構築希望はこちらまでってやれば儲かるんじゃねwwww
詳しい報告書、再構築希望はこちらまでってやれば儲かるんじゃねwwww
224 :名無しさん@八周年:2008/04/07(月) 15:06:23 ID:xfrkcjLR0
趣味でPHP+MySQLを使ったシステムを運営してるんだが、
インジェクション対策としてはmysql_real_escape_stringぐらいしかやってない・・・
これだけじゃ駄目だって事か?
インジェクション対策としてはmysql_real_escape_stringぐらいしかやってない・・・
これだけじゃ駄目だって事か?
225 :名無しさん@八周年:2008/04/07(月) 15:07:40 ID:BIJAQdFnO
>>ID:Niuh41pv0
まぁ…あれだ
その辺でいいよ
まぁ…あれだ
その辺でいいよ
227 :名無しさん@八周年:2008/04/07(月) 15:08:20 ID:ONV03KKp0
これちゃんとシステム管理してれば、バグ修正出来るレベルじゃないの?
230 :名無しさん@八周年:2008/04/07(月) 15:10:03 ID:CpeJo/oE0
ECサイトのパッケージなら普通カード情報は暗号化後に保存とかしてると思うが
あぁ、「だから流出した可能性がある」って言ってんのか
あぁ、「だから流出した可能性がある」って言ってんのか
マルチバイト文字が〜ってのはUTF変換してから評価しろよ
232 :名無しさん@八周年:2008/04/07(月) 15:10:32 ID:WNjm0TDL0
234 :名無しさん@八周年:2008/04/07(月) 15:13:21 ID:ONV03KKp0
ニワカが付け焼刃の知識披露大会か
まあ、適当なセキュリティ解説サイトの簡単な例を見てのことだと思うけどね
プレースホルダとかが一言もでてこないからそれも怪しい
プレースホルダとかが一言もでてこないからそれも怪しい
238 :名無しさん@八周年:2008/04/07(月) 15:16:50 ID:WNjm0TDL0
>>234
ごめんごめん。俺のは普通に addslashes してた場合の話ね。
ごめんごめん。俺のは普通に addslashes してた場合の話ね。
239 :名無しさん@八周年:2008/04/07(月) 15:17:55 ID:GG4v9Ool0
>中国国内の複数のIPアドレスからSQLインジェクション攻撃が
>仕掛けられていたことが分かった。
迂回されればそれまでだけど、せめて中韓アドレスは弾いておいても
いいんじゃないのかなあ。どうせそっち向けに商売してないんでしょ。
>仕掛けられていたことが分かった。
迂回されればそれまでだけど、せめて中韓アドレスは弾いておいても
いいんじゃないのかなあ。どうせそっち向けに商売してないんでしょ。
危ない危ない。つい先日使おうとしてた。
>>236
(・∀・)ニヤニヤして見てるw
(・∀・)ニヤニヤして見てるw
SQL は外部定義して動的に組み立てさせない。まぁ検索パターンが複雑でプログラム的に
WHERE 句を作らなきゃいけない場合のパスは用意するにしても、該当箇所は相当絞れる。
これだけのフレームワーク作る程度で SQL インジェクションは防げる。難しいとか言っている
奴は設計で縛りを入れるという発想がないのか? 文字列連結がデフォなのか?
WHERE 句を作らなきゃいけない場合のパスは用意するにしても、該当箇所は相当絞れる。
これだけのフレームワーク作る程度で SQL インジェクションは防げる。難しいとか言っている
奴は設計で縛りを入れるという発想がないのか? 文字列連結がデフォなのか?
SQLは面倒だよな
しっかりやってるつもりでもいつ突破されるか解らないしな
しっかりやってるつもりでもいつ突破されるか解らないしな
245 :名無しさん@八周年:2008/04/07(月) 15:24:33 ID:sy7Zr5I50
どこに本質があるのか抽象化できない、マルチバイトがーとか
入り口で止めりゃいいのに最初に拡散させてから潰そうとするできないやつがチラホラ散見・・・
web系なんてプログラマの最底辺だからな・・・
入り口で止めりゃいいのに最初に拡散させてから潰そうとするできないやつがチラホラ散見・・・
web系なんてプログラマの最底辺だからな・・・
ここのデータベースって何を使ってたんだろう?
複文クエリを簡単に実行できる種類の物だったんだろうか…
複文クエリを簡単に実行できる種類の物だったんだろうか…
248 :名無しさん@八周年:2008/04/07(月) 15:27:25 ID:4r+nk9wH0
で、SQLインジェクションってなに??
249 :名無しさん@八周年:2008/04/07(月) 15:27:58 ID:BIJAQdFnO
250 :名無しさん@八周年:2008/04/07(月) 15:28:17 ID:Y2Tf9ON90
>>248
SQL噴射
SQL噴射
SQLの問題じゃなくてパターンマッチの問題なんだけどな
入力をサニタイズしないことなんてあり得ない
入力をサニタイズしないことなんてあり得ない
253 :名無しさん@八周年:2008/04/07(月) 15:30:22 ID:HmPi74ex0
>>243
一瞬ロックオンってWeb通販ソフト作ってる会社の名前かと思ったw
ていうかレベルの低いプログラマが変なサイト作るよりも、
EC-CUBEカスタマイズした方が安全なサイトができるんじゃないのかなぁ?
一瞬ロックオンってWeb通販ソフト作ってる会社の名前かと思ったw
ていうかレベルの低いプログラマが変なサイト作るよりも、
EC-CUBEカスタマイズした方が安全なサイトができるんじゃないのかなぁ?
>>242
だからさ、状況によるって
前スレで少し書いたけど、例えば、
・ASP で SQL文ベタ打ちで作られた
・それなりの規模の
・それなりの歴史のある
ECサイトがあるとする
・その社長は商売はそれなりにやり手だけど、システムのことは無知
・調子のいいシステム担当重役(パソコンショップの元バイト上がりとかww)
な会社組織
・旧DBの一部を残したまま
・新DBにAccout テーブルを追加
・もちろん旧DBの Accout テーブルも使用する
・多分、商品表示・検索・発注も変更する
やっつけな仕事が舞い込んだ
さあ、おまえならどうする?
だからさ、状況によるって
前スレで少し書いたけど、例えば、
・ASP で SQL文ベタ打ちで作られた
・それなりの規模の
・それなりの歴史のある
ECサイトがあるとする
・その社長は商売はそれなりにやり手だけど、システムのことは無知
・調子のいいシステム担当重役(パソコンショップの元バイト上がりとかww)
な会社組織
・旧DBの一部を残したまま
・新DBにAccout テーブルを追加
・もちろん旧DBの Accout テーブルも使用する
・多分、商品表示・検索・発注も変更する
やっつけな仕事が舞い込んだ
さあ、おまえならどうする?
>>254
クラックする
クラックする
256 :名無しさん@八周年:2008/04/07(月) 15:35:07 ID:Ph0NC5080
サウンドハウスからメールが来てたけど
去年なにも買った記憶がない
一応問い合わせたら2004年の購入履歴があった
それだと大丈夫らしい
ほんとに大丈夫?
去年なにも買った記憶がない
一応問い合わせたら2004年の購入履歴があった
それだと大丈夫らしい
ほんとに大丈夫?
258 :名無しさん@八周年:2008/04/07(月) 15:38:23 ID:Cx0z+ay60
せめてストプロにしないとね
259 :名無しさん@八周年:2008/04/07(月) 15:38:27 ID:ejWsikMB0
任意に入力された値をDBがSQLとして解釈する危険性を
防げればいいんだから、
SQLに画面入力項目を含めたいときに
直接文字列として構成するのではなく
SQLはパラメータ化SQLで作っておいて、
可変項目はパラメータとしてDBに渡す、ではだめなの?
DB側で勝手にパラメータ項目をSQLの一部として解釈することはないよね?
違うのかな??
防げればいいんだから、
SQLに画面入力項目を含めたいときに
直接文字列として構成するのではなく
SQLはパラメータ化SQLで作っておいて、
可変項目はパラメータとしてDBに渡す、ではだめなの?
DB側で勝手にパラメータ項目をSQLの一部として解釈することはないよね?
違うのかな??
260 :名無しさん@八周年:2008/04/07(月) 15:41:07 ID:zHYDP4LV0
これまでのまとめ
・実際にカードの不正利用をされたのは極一部の利用客のみ
・サウンドハウスの対応が遅れたように見えたのは、確実正確な情報のみ伝えるため
・WEBで流出したことを公開し、利用者の負担が無いことを保証など、サウンドハウスの誠実な対応が光る
・流出はハッキングによるもので不可抗力、サウンドハウスに非は無い
・利用客は二次的で間接的で潜在的な被害者にすぎない
・利用客には、迂闊にもネットでクレカを使ったという重大な過失がある
・一番の被害者はサウンドハウス
・普段からお買い得なのに、今なら3%リベートキャンペーンで更にお買い得
・情報が漏れたのはたったの9万人
・犯行の手口はSQLインジェクションという特殊で高度なハッキング手法で、防御は不可能
・クレジットカードの再発行は過剰反応
・風俗とかそんなことばかりしてるからスキミング被害にあう。自業自得。濡れ衣着せられた音屋かわいそう。
・実際にカードの不正利用をされたのは極一部の利用客のみ
・サウンドハウスの対応が遅れたように見えたのは、確実正確な情報のみ伝えるため
・WEBで流出したことを公開し、利用者の負担が無いことを保証など、サウンドハウスの誠実な対応が光る
・流出はハッキングによるもので不可抗力、サウンドハウスに非は無い
・利用客は二次的で間接的で潜在的な被害者にすぎない
・利用客には、迂闊にもネットでクレカを使ったという重大な過失がある
・一番の被害者はサウンドハウス
・普段からお買い得なのに、今なら3%リベートキャンペーンで更にお買い得
・情報が漏れたのはたったの9万人
・犯行の手口はSQLインジェクションという特殊で高度なハッキング手法で、防御は不可能
・クレジットカードの再発行は過剰反応
・風俗とかそんなことばかりしてるからスキミング被害にあう。自業自得。濡れ衣着せられた音屋かわいそう。
261 :名無しさん@八周年:2008/04/07(月) 15:42:11 ID:3f3wZBrK0
実害の無いお前らが必死で、
それを実害のあった俺らがニヤニヤしながら見てるってのもおかしなもんだw
それを実害のあった俺らがニヤニヤしながら見てるってのもおかしなもんだw
262 :名無しさん@八周年:2008/04/07(月) 15:44:03 ID:uRV56FueO
昨日CDJたのんだのだが、
うちにもメール来てたわ
まぁ買ったのだいぶ前だし代引きだった気がするから関係ないな
まぁ買ったのだいぶ前だし代引きだった気がするから関係ないな
264 :名無しさん@八周年:2008/04/07(月) 15:46:05 ID:Rk1JMGh+0
やっぱカード決済は怖いな。
歌舞伎町の外人から買うのが一番安全だな。
歌舞伎町の外人から買うのが一番安全だな。
267 :名無しさん@八周年:2008/04/07(月) 15:51:23 ID:sy7Zr5I50
IDが赤いやつは漏れなく面白いなw
269 :名無しさん@八周年:2008/04/07(月) 15:52:34 ID:WNjm0TDL0
270 :名無しさん@八周年:2008/04/07(月) 15:53:55 ID:645lqYG/0
>>266
web業界はホームページ屋さんに毛が生えた程度の業者がいっぱいで、過当競争で大変そうだな
web業界はホームページ屋さんに毛が生えた程度の業者がいっぱいで、過当競争で大変そうだな
271 :名無しさん@八周年:2008/04/07(月) 15:54:29 ID:ECflDmO20
俺のブログはPHP+MySQLだが、パラメータをhtmlentities(specialcharsかも)して
数字かどうか判定の上、文字数が3文字以下だったらおkにしてる
不正値の場合はエラーなど返さずにIPを記録して終わり
これくらいしかしてない
OR 'A'='A'を以外は何も意識してない
以下参考
Part2 SQLインジェクションの手口:ITpro
http://itpro.nikkeibp.co.jp/article/lecture/20070831/280883/
数字かどうか判定の上、文字数が3文字以下だったらおkにしてる
不正値の場合はエラーなど返さずにIPを記録して終わり
これくらいしかしてない
OR 'A'='A'を以外は何も意識してない
以下参考
Part2 SQLインジェクションの手口:ITpro
http://itpro.nikkeibp.co.jp/article/lecture/20070831/280883/
ああ失礼、よく読んだら自虐が趣旨のレスだったか。
セキュリティに完全はないよな。どんなに時間と金をかけて対策しても、絶対に100パーセントはない。
そういう意味じゃカード決済でネットショッピングって恐ろしいな。
そういう意味じゃカード決済でネットショッピングって恐ろしいな。
>>271
だからオブジェクト化しろって言ってるだろカス!
だからオブジェクト化しろって言ってるだろカス!
275 :名無しさん@八周年:2008/04/07(月) 16:02:42 ID:kGZKScil0
また、重ねて申し上げますが、万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合につきましては、お客さまのご負担は一切発生しませんので、ご安心いただきますようお願い申し上げます。
ってようは、それ以外の被害については一切負担しませんのでご安心下さい^^
って事だろ。
うぜええ
ほんと安かろう悪かろうだな。
ってようは、それ以外の被害については一切負担しませんのでご安心下さい^^
って事だろ。
うぜええ
ほんと安かろう悪かろうだな。
276 :名無しさん@八周年:2008/04/07(月) 16:03:40 ID:nK+3SZttO
ニコスしかない俺は勝ち組
277 :名無しさん@八周年:2008/04/07(月) 16:04:56 ID:vyH9x+oo0
PreparedStatementでやってないところがいまどきあるのか、、、
278 :名無しさん@八周年:2008/04/07(月) 16:05:04 ID:8Cxiz0O10
>>158
遮断してるのは政府にとって都合が悪い情報だけ。
犯罪者は野放しか、政府関係者もやってるだろう。
逮捕する奴はいない。
で、その犯罪で得た金を落としてもらったと喜んでるのが馬鹿な日本の観光地。
遮断してるのは政府にとって都合が悪い情報だけ。
犯罪者は野放しか、政府関係者もやってるだろう。
逮捕する奴はいない。
で、その犯罪で得た金を落としてもらったと喜んでるのが馬鹿な日本の観光地。
279 :名無しさん@八周年:2008/04/07(月) 16:05:24 ID:UzQjVWoQO
そういやカード会社がカード止めてたな
問い合わせる身にもなってくれ
問い合わせる身にもなってくれ
280 :名無しさん@八周年:2008/04/07(月) 16:07:22 ID:b31DSO/Q0
>>273
カード会社によっては、ネット通販で不正使用が発覚した場合も被害補償
してくれるところがある。そういうカード会社を選べば実質的な被害は0。
ネット通販は便利だから、補償規定について選択眼を持てばいいだけの話。
カード会社によっては、ネット通販で不正使用が発覚した場合も被害補償
してくれるところがある。そういうカード会社を選べば実質的な被害は0。
ネット通販は便利だから、補償規定について選択眼を持てばいいだけの話。
そもそも大陸からのアクセスはDenyしとけよ
282 :名無しさん@八周年:2008/04/07(月) 16:14:16 ID:8Cxiz0O10
>>174
最近はそうやって相手側から遮断されてることも多いから、
海外(日本含む)に住む中国人がproxyとかを提供するサービスをやっている。
こんな感じ
ttp://search1.taobao.com/browse/0/t-g,xkr43yrawt5mb3jaw77m54i----------------40--commend-0-all-0.htm?at_topsearch=1
最近はそうやって相手側から遮断されてることも多いから、
海外(日本含む)に住む中国人がproxyとかを提供するサービスをやっている。
こんな感じ
ttp://search1.taobao.com/browse/0/t-g,xkr43yrawt5mb3jaw77m54i----------------40--commend-0-all-0.htm?at_topsearch=1
283 :名無しさん@八周年:2008/04/07(月) 16:19:18 ID:e7b80+IW0
3/28に新規登録した俺はセーフ…のはずだよな。
その日カード決済で買い物しようとしたら「今カードの取り扱い中止してる」って
出たんだがコレのせいだったのか。まあ振込み面倒だから買うのやめたけど。
一週間早かったら普通にカード番号登録してたわ。危なかった。
その日カード決済で買い物しようとしたら「今カードの取り扱い中止してる」って
出たんだがコレのせいだったのか。まあ振込み面倒だから買うのやめたけど。
一週間早かったら普通にカード番号登録してたわ。危なかった。
284 :名無しさん@八周年:2008/04/07(月) 16:19:38 ID:1vKWcerX0
またしてもWindows鯖なわけだが・・・。
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp/
しかし、SQLインジェクションを狙い打ってるというが、
Web+DBなんてApache+MySQLの方が割合が大きいだろうに。
IIS+MS SQLだけクラックされるって何か別の要因があんじゃね?
285 :名無しさん@八周年:2008/04/07(月) 16:19:41 ID:YxBg80gi0
>>1
>クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
>性別、生年月日、サイトログイン用メールアドレスとパスワードが
>流出した可能性があるとしている。
これで支那人にWebサイトで買いものされまくるんだろうな。
何百万という請求が来月には来るな。
>クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
>性別、生年月日、サイトログイン用メールアドレスとパスワードが
>流出した可能性があるとしている。
これで支那人にWebサイトで買いものされまくるんだろうな。
何百万という請求が来月には来るな。
286 :名無しさん@八周年:2008/04/07(月) 16:22:03 ID:kGZKScil0
>>280
不正使用が発覚ったって
クレジットカードの暗証番号が当てられたら補償外だろ。
今回は暗証番号は漏れてないらしいが、
連番の奴とか、生年月日の奴とかは
運悪くチャイナに当てられたら死亡だぞ。
そもそもこっちは不正しようされた証明する事はすごく困難
不正使用が発覚ったって
クレジットカードの暗証番号が当てられたら補償外だろ。
今回は暗証番号は漏れてないらしいが、
連番の奴とか、生年月日の奴とかは
運悪くチャイナに当てられたら死亡だぞ。
そもそもこっちは不正しようされた証明する事はすごく困難
288 :名無しさん@八周年:2008/04/07(月) 16:31:21 ID:kGZKScil0
各カード会社対応一覧とかないのかな?
結構悲惨な目にあったからカード会社乗り換えたいwww
結構悲惨な目にあったからカード会社乗り換えたいwww
290 :名無しさん@八周年:2008/04/07(月) 16:41:02 ID:Ff+4qAVK0
>>289
何か送ったぞwww
何か送ったぞwww
中国のウェブサイトって政府も民間もasp使ってるサイトが多くて、
IEじゃないとまともに見れない、サービスを受けられないところが多い。
しかもOSはコピーばっかりで、個人もアンチウィルスソフトさえ入れてない、政府系サイトや
大手メーカーでもスクリプト埋め込まれてることが普通にある。
・・・という状況なんだけど。
それだけasp使ってるサイトを攻撃し慣れてると思う、
IEじゃないとまともに見れない、サービスを受けられないところが多い。
しかもOSはコピーばっかりで、個人もアンチウィルスソフトさえ入れてない、政府系サイトや
大手メーカーでもスクリプト埋め込まれてることが普通にある。
・・・という状況なんだけど。
それだけasp使ってるサイトを攻撃し慣れてると思う、
292 :名無しさん@八周年:2008/04/07(月) 16:42:30 ID:ECflDmO20
293 : ◆T0e.kDbaK2 :2008/04/07(月) 16:43:31 ID:cLnHL1yl0
お詫びは言葉だけじゃなくて・・・ねぇ。w
大和の湯の無料利用券とかじゃ、ねぇ。w
大和の湯の無料利用券とかじゃ、ねぇ。w
>>280
今回の場合、それに音屋があぐらをかいているようにも見えるんだな。
>>273の言うように100%安全というのはないというのには同意なので
「個人情報は保護されており安全です」みたいにサイトに書いておくのも考え物かも。
食べ物でも、「まれに製品に黒い粒がありますが製造上のxxなので問題はありません」
みたいなのもあるけど、あれも逆に考えると怖い。
今回の場合、それに音屋があぐらをかいているようにも見えるんだな。
>>273の言うように100%安全というのはないというのには同意なので
「個人情報は保護されており安全です」みたいにサイトに書いておくのも考え物かも。
食べ物でも、「まれに製品に黒い粒がありますが製造上のxxなので問題はありません」
みたいなのもあるけど、あれも逆に考えると怖い。
296 :名無しさん@八周年:2008/04/07(月) 16:50:20 ID:NVRV6eZt0
まあ、Windows鯖やめるってだけでも相当なセキュリティアップになるな。
297 :名無しさん@八周年:2008/04/07(月) 16:57:27 ID:8Cxiz0O10
>>295
嘘でもそういう風に書いておかないと他にお客さんが流れるだろうからね・・
嘘でもそういう風に書いておかないと他にお客さんが流れるだろうからね・・
298 :名無しさん@八周年:2008/04/07(月) 16:58:36 ID:flAI2Ny+O
しかしまさか一度ギターカポを買っただけで自分が騒ぎに巻き込まれるとは…orz
299 :名無しさん@八周年:2008/04/07(月) 17:01:16 ID:8Cxiz0O10
ちょっと調べたらこんなの出てきた。
ttp://www.gongao.org/board.asp?curtype=%BA%DA%C3%FB%B5%A5&dtype=%D2%F8%D0%D0%D0%C5%D3%C3%BF%A8
中国のサイトで今回漏れた番号を検索したら出てきそうだなあ。
ttp://www.gongao.org/board.asp?curtype=%BA%DA%C3%FB%B5%A5&dtype=%D2%F8%D0%D0%D0%C5%D3%C3%BF%A8
中国のサイトで今回漏れた番号を検索したら出てきそうだなあ。
>>298
まさか動くやつじゃ・・・
まさか動くやつじゃ・・・
301 :名無しさん@八周年:2008/04/07(月) 17:02:19 ID:Pl/Ev3kt0
>>295
食料品の成分表みたいに、サイトのシステム構成(OSとかサーバーの種類)を
どっかに書いときゃいいんじゃね?
少なくとも賢いヤツは、Win鯖はヤバいから避けるとかできそう。
どうせちょっと調べりゃ分かる事だし。
食料品の成分表みたいに、サイトのシステム構成(OSとかサーバーの種類)を
どっかに書いときゃいいんじゃね?
少なくとも賢いヤツは、Win鯖はヤバいから避けるとかできそう。
どうせちょっと調べりゃ分かる事だし。
302 :名無しさん@八周年:2008/04/07(月) 17:02:51 ID:xQ3N7SM60
2月に初利用したんだけど、案内メールにびっくり。
慌ててカードを止めたけど、とりあえず今のところ被害はない模様。
しかし、他の個人情報が流れたとしたら、かなり痛いよ。
慌ててカードを止めたけど、とりあえず今のところ被害はない模様。
しかし、他の個人情報が流れたとしたら、かなり痛いよ。
303 :名無しさん@八周年:2008/04/07(月) 17:10:57 ID:8Cxiz0O10
他にもマスターカード番号とアメリカの住所作成ソフトとか、VISAカードの桁数教えてくださいとか、
クレジットカード売買とか、普通に出てくるよ、百度。
クレジットカード売買とか、普通に出てくるよ、百度。
304 :名無しさん@八周年:2008/04/07(月) 17:12:36 ID:kGZKScil0
>>303
そこに僕も乗るわけですね。
そこに僕も乗るわけですね。
305 :名無しさん@八周年:2008/04/07(月) 17:26:20 ID:cNTIyyH20
引越ししたから、ほぼ一からDAW(&DTM)システム組みなおしたんだけど、
ちょっと音源が寂しいと思って10万程買ったんだよな。
代引きだけど、去年の6月位に orz。
住所と電話番号以外もれてるじゃないかよ
ちょっと音源が寂しいと思って10万程買ったんだよな。
代引きだけど、去年の6月位に orz。
住所と電話番号以外もれてるじゃないかよ
306 :名無しさん@八周年:2008/04/07(月) 17:34:01 ID:8Cxiz0O10
>>302
ワシも、2月にFirewire Audio I/Fをここで初めて買った。
以後のいきさつは以下の通り。
//引用開始
711 名前:名無しさん@八周年 メェル:sage 投稿日:2008/04/06(日) 01:58:41 ID:U3srlyUl0
2月末頃にサウンドハウスで買い物した。
…
3/24に三菱UFJニコス(DC)より連絡あり。
「3/22にネットゲームで不正使用未遂あり」との連絡。
「安全のため、至急カード番号変更&再発行」をお願いされる。
速攻受諾し、再発行完了。
三菱UFJニコス(DC)は神!
サウンドハウスよ、お前の仕業だったんだな。
悔い改めよ!
//引用終わり
全く困ったもんだよ!
で…
カードは助かったけど他の情報は丸裸…
謝罪と賠償を請求するニダ!
ワシも、2月にFirewire Audio I/Fをここで初めて買った。
以後のいきさつは以下の通り。
//引用開始
711 名前:名無しさん@八周年 メェル:sage 投稿日:2008/04/06(日) 01:58:41 ID:U3srlyUl0
2月末頃にサウンドハウスで買い物した。
…
3/24に三菱UFJニコス(DC)より連絡あり。
「3/22にネットゲームで不正使用未遂あり」との連絡。
「安全のため、至急カード番号変更&再発行」をお願いされる。
速攻受諾し、再発行完了。
三菱UFJニコス(DC)は神!
サウンドハウスよ、お前の仕業だったんだな。
悔い改めよ!
//引用終わり
全く困ったもんだよ!
で…
カードは助かったけど他の情報は丸裸…
謝罪と賠償を請求するニダ!
今日はシナの日だから多めに見ようじゃないか
309 :名無しさん@八周年:2008/04/07(月) 17:45:44 ID:0SfTn0CSO
なんかたった今さ音屋からメール来たんだけど、「お客様のほうでクレジットカード会社へご連絡する必要はありません」みたいな内容だった。
あほか
あほか
310 :名無しさん@八周年:2008/04/07(月) 17:47:09 ID:BcY7cGU90
ここで安物のiPod用イヤフォン買ったのを
すっかり忘れて、他人事モードだった。
先日メールが来て青ざめた。
入会したのが2007年一月以前なのか微妙なんだよなぁ。
すっかり忘れて、他人事モードだった。
先日メールが来て青ざめた。
入会したのが2007年一月以前なのか微妙なんだよなぁ。
>>309
今日別件でクレジット会社に(三菱UFJニコス)電話した。
対応自体は相変わらずとても丁寧で的確だったが、
・なかなか電話がつながらない
・電話の奥から聞こえてくる音声がとても忙しそう
状況だった。
今回の件で、カード会社もあっぷあっぷなんではないかい?
でも、普通の神経をしていたら、連絡するだろうよ。
今日別件でクレジット会社に(三菱UFJニコス)電話した。
対応自体は相変わらずとても丁寧で的確だったが、
・なかなか電話がつながらない
・電話の奥から聞こえてくる音声がとても忙しそう
状況だった。
今回の件で、カード会社もあっぷあっぷなんではないかい?
でも、普通の神経をしていたら、連絡するだろうよ。
>>309
全登録者がカード再発行したらマズイとカード会社から要請受けている。
全登録者がカード再発行したらマズイとカード会社から要請受けている。
313 :名無しさん@八周年:2008/04/07(月) 17:58:31 ID:pYsL+tet0
もう日本のネットの根幹部分で中国からのip弾けよ。
むこうもどうせ見れないんだからいいだろ?
むこうもどうせ見れないんだからいいだろ?
まさかログインパスワードを平文で保存してたの?
>>314
それが何か?
それが何か?
316 :名無しさん@八周年:2008/04/07(月) 18:04:04 ID:vgbNMblh0
まさかWindows鯖でサイト立ち上げてたの?
317 :名無しさん@八周年:2008/04/07(月) 18:07:35 ID:D0HHUYwG0
>>307
なんで三菱UFJニコスは神対応なのに三菱UFJVISAは糞対応なんだろう?
なんで三菱UFJニコスは神対応なのに三菱UFJVISAは糞対応なんだろう?
SQLインジェクションって、何か未知の脆弱性を突かれたのか?
まさか単にエスケープしてなかっただけとか無いですよね。それなら完全に自業自得だ罠。
まさか単にエスケープしてなかっただけとか無いですよね。それなら完全に自業自得だ罠。
今回のようないい加減なセキュリティで防げたのに流出させられた悪質な個人情報流出は、
サウンドハウスからまともな謝罪・損害請求なされないようなら
集団訴訟でいいと思うんだが。
サウンドハウスからまともな謝罪・損害請求なされないようなら
集団訴訟でいいと思うんだが。
321 :名無しさん@八周年:2008/04/07(月) 18:12:32 ID:Zhr1VF3y0
322 :名無しさん@八周年:2008/04/07(月) 18:14:03 ID:ke28ujb30
>>307
中華のSQLインジェクションは3月中旬からあちこちで騒がれてるよ
楽天もビジー状態だったしPeergGuardian(IPブロックソフト)のサイトすら攻撃対象
どこから漏れたのか特定は難しいね
中華のSQLインジェクションは3月中旬からあちこちで騒がれてるよ
楽天もビジー状態だったしPeergGuardian(IPブロックソフト)のサイトすら攻撃対象
どこから漏れたのか特定は難しいね
323 :名無しさん@八周年:2008/04/07(月) 18:14:14 ID:8Cxiz0O10
>>317
三菱に食われたから、しっかり対応してないとイビられるとか。
三菱に食われたから、しっかり対応してないとイビられるとか。
今更こんなメールがきやがった。
対応のろ過ぎ。
// 引用開始
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度のお客様情報の流出、及び、度々のメール配信で大変ご迷惑を
おかけしております。
本日配信致しました情報流出に関するご案内の中に
「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数
でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の
指示に従い、ご対応いただくようお願い致します。」
と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタ
リングする等、不正使用を早期に発見できる体制を整えております。また、万が一、
本件に起因してお客様のカード情報が不正に使用され、被害が発生した場合には、お
客様にご負担をおかけすることのないように対応する旨を伺っておりますので、お客
様からクレジットカード会社へご連絡いただく必要はございません。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
// 引用終了
対応のろ過ぎ。
// 引用開始
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度のお客様情報の流出、及び、度々のメール配信で大変ご迷惑を
おかけしております。
本日配信致しました情報流出に関するご案内の中に
「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数
でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の
指示に従い、ご対応いただくようお願い致します。」
と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタ
リングする等、不正使用を早期に発見できる体制を整えております。また、万が一、
本件に起因してお客様のカード情報が不正に使用され、被害が発生した場合には、お
客様にご負担をおかけすることのないように対応する旨を伺っておりますので、お客
様からクレジットカード会社へご連絡いただく必要はございません。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
// 引用終了
さすが自称IT先進国(笑)
紙の国が無理してIT化(笑)なんかするからこうなるんだよ
紙の国が無理してIT化(笑)なんかするからこうなるんだよ
326 :名無しさん@八周年:2008/04/07(月) 18:20:20 ID:1BakllSj0
俺の作った商用サイト、SQLインジェクション対策してなかったww
今さら直せねぇww
俺がエスケープwww
今さら直せねぇww
俺がエスケープwww
327 :名無しさん@八周年:2008/04/07(月) 18:20:55 ID:s5vt0Jkw0
Yahoo! BB顧客情報流出の集団訴訟で被害者勝ってるから
サウンドハウス訴えようじゃない。
サウンドハウス訴えようじゃない。
329 :名無しさん@八周年:2008/04/07(月) 18:23:43 ID:09eYk+340
つーか、去年サウンドハウスでゼンハイザーのヘッドフォン買ったな。
>>324のメール、うちにも来てたよ。
>>324のメール、うちにも来てたよ。
330 :名無しさん@八周年:2008/04/07(月) 18:25:51 ID:UzQjVWoQO
サウンドハウスも中国にサイト落とされて客に訴えられて二重苦だな
331 :名無しさん@八周年:2008/04/07(月) 18:28:26 ID:yXiLiroz0
332 :名無しさん@八周年:2008/04/07(月) 18:39:42 ID:UB2sPhqQ0
不正利用の形跡がないから放置してたんだが、
>>1
> クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
> ^^^^^^^^^^
俺が会員登録して買い物したのは去年の春先で、
その後ちょうど夏に有効期限切れで切り替わったんだった。
なのでセーフということらしい。やれやれ。
カード名義も、俺の名前は中国人たいてい誤字るんで
情報を元にカードを偽造されても大丈夫っぽい。
>>1
> クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
> ^^^^^^^^^^
俺が会員登録して買い物したのは去年の春先で、
その後ちょうど夏に有効期限切れで切り替わったんだった。
なのでセーフということらしい。やれやれ。
カード名義も、俺の名前は中国人たいてい誤字るんで
情報を元にカードを偽造されても大丈夫っぽい。
あー
代引きしか利用した事ないからどうでもいいや
代引きしか利用した事ないからどうでもいいや
334 :名無しさん@八周年:2008/04/07(月) 18:43:59 ID:645lqYG/0
>>321
実はクラックしてる中国人が作ったサイトなんじゃね?どっかが中国に流した仕事で
実はクラックしてる中国人が作ったサイトなんじゃね?どっかが中国に流した仕事で
335 :名無しさん@八周年:2008/04/07(月) 18:44:14 ID:BdE2xjBF0
Winはバイナリすら一緒だから楽なんだよな。
こんなスレで昔の2chなら必ずあった
"漏れの肛門もインジェクションされそうです"
なんて書き込みが無いことに気づき
いまはもう2008年なんだとしみじみ思った
"漏れの肛門もインジェクションされそうです"
なんて書き込みが無いことに気づき
いまはもう2008年なんだとしみじみ思った
337 :名無しさん@八周年:2008/04/07(月) 18:48:57 ID:iZPD9s3I0
長野の聖火リレーコースの道路に砂曼荼羅でチベット国旗を描こうぜ!!!
WEB関係のプログラマって結構難しいと思うんだけど、
開発単価が安いせいで、技術的にも微妙なの多いよな。
開発単価が安いせいで、技術的にも微妙なの多いよな。
341 :名無しさん@八周年:2008/04/07(月) 19:18:24 ID:3FzlWFLK0
NHKキタ━━━━━━(゚∀゚)━━━━━━ !!!!!
342 :名無しさん@八周年:2008/04/07(月) 19:20:20 ID:Z5czHcDE0
またしてもWindows鯖なわけだが・・・。
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp/
しかし、SQLインジェクションを狙い打ってるというが、
Web+DBなんてApache+MySQLの方が割合が大きいだろうに。
IIS+MS SQLだけクラックされるって何か別の要因があんじゃね?
漏れの肛門もSQLインジェクションされそうです
345 :名無しさん@八周年:2008/04/07(月) 19:22:50 ID:jb80Jyxd0
あう
>>344
ポートを塞ぐんだ
ポートを塞ぐんだ
>>344
直腸までバッファオーバランさせてくれ。
直腸までバッファオーバランさせてくれ。
348 :名無しさん@八周年:2008/04/07(月) 19:24:57 ID:D0HHUYwG0
>>342
レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
349 :名無しさん@八周年:2008/04/07(月) 19:25:56 ID:BdE2xjBF0
ASPとかでパラメータとして使ってるとかなり楽に穴が空く。
350 :名無しさん@八周年:2008/04/07(月) 19:26:27 ID:MfFHkBWQ0
http://secinfo.itnavi.net/cat5/sql/
株式会社ラックの Japan Security Operation Center(JSOC)から、SQLインジェクション 緊急レポートがリリースされている。
2005年5月に起きた価格.com(カカクコム)不正アクセス事件の詳細は公表されていないが、
SQLインジェクションによる不正アクセスを受けていたのではないかといわれているし、
同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している
JSOCのSQLインジェクション 緊急レポートによると、2005年後半からSQLインジェクションの攻撃件数が激増していて、
中国からの攻撃が大部分を占めているという。
中国語のサイトでSQLインジェクション攻撃を実行するツールが多数配布されていることが、その傾向を増長しているようだ。
攻撃のターゲットは、ASP(Active Server Pages)を利用しているシステムが52%を占め、これはファイルの拡張子から
IIS と SQL Server の組み合わせを限定しやすいことと、攻撃ツールの多くがASPを対象としていることを指摘している。
詳しくはこちらの【SQLインジェクション緊急レポート】を見ていただきたい。
http://www.lac.co.jp/business/sns/intelligence/jsoc_report.html
株式会社ラックの Japan Security Operation Center(JSOC)から、SQLインジェクション 緊急レポートがリリースされている。
2005年5月に起きた価格.com(カカクコム)不正アクセス事件の詳細は公表されていないが、
SQLインジェクションによる不正アクセスを受けていたのではないかといわれているし、
同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している
JSOCのSQLインジェクション 緊急レポートによると、2005年後半からSQLインジェクションの攻撃件数が激増していて、
中国からの攻撃が大部分を占めているという。
中国語のサイトでSQLインジェクション攻撃を実行するツールが多数配布されていることが、その傾向を増長しているようだ。
攻撃のターゲットは、ASP(Active Server Pages)を利用しているシステムが52%を占め、これはファイルの拡張子から
IIS と SQL Server の組み合わせを限定しやすいことと、攻撃ツールの多くがASPを対象としていることを指摘している。
詳しくはこちらの【SQLインジェクション緊急レポート】を見ていただきたい。
http://www.lac.co.jp/business/sns/intelligence/jsoc_report.html
351 :名無しさん@八周年:2008/04/07(月) 19:26:42 ID:xwd7wOOX0
自前鯖かよ
352 :名無しさん@八周年:2008/04/07(月) 19:29:55 ID:XK5RSozK0
>>348
>レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
そういうWin環境でしか開発できないような低スキルのPG使ってシステムを安くあげても、
こういう事件があったら結局大損害だよな。。。
>レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
そういうWin環境でしか開発できないような低スキルのPG使ってシステムを安くあげても、
こういう事件があったら結局大損害だよな。。。
>>324のメールがウチにも届いたんだけど、要約するとカード会社には連絡するなってことだよね。
でもカード会社的には不正使用されてなければ連絡よこさないと思うんだけど……
情報は漏れたけど "まだ" 不正使用されてない場合はやっぱカード会社に確認するしかないんじゃないの?
今回対応しないで1年くらいたってみんな忘れたころに不正使用されたらきっと確認が遅れて使われまくる
気がする。
やっぱカード会社に確認は必要だ。そのためのサポートデスクでしょ。サウンドハウスが連絡しなくていいとか
いう立場じゃない。
でもカード会社的には不正使用されてなければ連絡よこさないと思うんだけど……
情報は漏れたけど "まだ" 不正使用されてない場合はやっぱカード会社に確認するしかないんじゃないの?
今回対応しないで1年くらいたってみんな忘れたころに不正使用されたらきっと確認が遅れて使われまくる
気がする。
やっぱカード会社に確認は必要だ。そのためのサポートデスクでしょ。サウンドハウスが連絡しなくていいとか
いう立場じゃない。
354 :名無しさん@八周年:2008/04/07(月) 19:32:15 ID:MzUwns1y0
FC2ブログがよく中華から攻撃されるそうなので気をつけろよ
閲覧しただけでパス抜きサイトに飛ばされたりする。
閲覧しただけでパス抜きサイトに飛ばされたりする。
たっぷり地獄を味わえw
asp.netのSQLインジェクション対策なんて馬鹿でもできるだろ
どんな業者だよ
どんな業者だよ
357 :名無しさん@八周年:2008/04/07(月) 19:34:43 ID:HH7llB8G0
支那人にインターネット イコール 基地外に刃物
サウンドハウス潰れようがこんな阿呆なセキュリティで経営して個人情報を垂れ流したのだからしょうがないと思う
359 :名無しさん@八周年:2008/04/07(月) 19:40:26 ID:DcjRTWD/O
マカフィのアンチウイルス使ってるけど、これも信用できないな。最悪だわ
360 :名無しさん@八周年:2008/04/07(月) 19:42:51 ID:pmvELbJU0
サウンドハウスでカードで買い物したことあるけど…
幸か不幸か、今カード止められてるわwwwwwwって笑い事じゃないなJK
幸か不幸か、今カード止められてるわwwwwwwって笑い事じゃないなJK
>>352
将来の大損害より目先の低コスト、てアホが多いから。
将来の大損害より目先の低コスト、てアホが多いから。
362 :名無しさん@八周年:2008/04/07(月) 20:26:26 ID:GHQFNkGI0
昨日の外部からの不正アクセスってサウンドハウスだけじゃなく、
他のウェブサイトでも結構あったみたいだな。
他のウェブサイトでも結構あったみたいだな。
363 :名無しさん@八周年:2008/04/07(月) 20:32:20 ID:JPGxrgI60
364 :名無しさん@八周年:2008/04/07(月) 20:32:50 ID:wMuggXNu0
NHKのニュースでは、「2007年以降に購入した人」と言って種。
会員登録じゃなく。
最終購入が2006年10月ならセーフ?
会員登録じゃなく。
最終購入が2006年10月ならセーフ?
365 :名無しさん@八周年:2008/04/07(月) 20:33:26 ID:WTGhlMBW0
おまえのは流出してないって書きわすれたとかいうメールがきたよ
366 :名無しさん@八周年:2008/04/07(月) 20:36:52 ID:wMuggXNu0
368 :名無しさん@八周年:2008/04/07(月) 20:46:55 ID:wMuggXNu0
これでカード利用されてもこちらに支払義務は発生しないのだから、そうあせらなくても良かったのにw
Apacheで立ち上げればいいのに、、勇ましいし。
たぶん、2000年前後に登録して当時は代引き、
2,3ヶ月前に久しぶりに買った時はクレカな俺にも、流出してないよメールが来た
2,3ヶ月前に久しぶりに買った時はクレカな俺にも、流出してないよメールが来た
バインドしろよ・・・・・・
なんで直に組みたがる?
なんで直に組みたがる?
>>372
なるほど。MTRが壊れたんだが、買わなくて正解だったよw
なるほど。MTRが壊れたんだが、買わなくて正解だったよw
>>368
今になってみればそうなるが、使用日が去年7月とモロかぶってるし
日曜に続いて2通目だからな。
おまけに2通目には
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
とまで書いてるんだぜ?
確かにおれの情報とは明記されてないが、保険やなんやで面倒なことになる前に
とっとと手続きやっちまおうと思ったんだがな。
まさか、対象外であることを書き洩らしているとは、予想の斜め上だったわww
今になってみればそうなるが、使用日が去年7月とモロかぶってるし
日曜に続いて2通目だからな。
おまけに2通目には
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
とまで書いてるんだぜ?
確かにおれの情報とは明記されてないが、保険やなんやで面倒なことになる前に
とっとと手続きやっちまおうと思ったんだがな。
まさか、対象外であることを書き洩らしているとは、予想の斜め上だったわww
376 :名無しさん@八周年:2008/04/07(月) 20:56:08 ID:7tGffv4P0
未だにメールが来ないな。一度しか使ってないけど。
その時は代引きだけど。
その時は代引きだけど。
377 :名無しさん@八周年:2008/04/07(月) 20:56:49 ID:ngVvQz890
抗議した人間の名前を掲示板で晒すぞと言っているサウンドハウスの中の人w
http://bbs.soundhouse.co.jp/bbs_onkyou/bbs_list.asp?i_start_count=0
http://bbs.soundhouse.co.jp/bbs_onkyou/bbs_list.asp?i_start_count=0
378 :名無しさん@八周年:2008/04/07(月) 20:56:54 ID:ZQv16xGG0
中国に流出しちゃったか。
一切手加減無しで限度額一杯まで使われるよ。
一切手加減無しで限度額一杯まで使われるよ。
379 :名無しさん@八周年:2008/04/07(月) 20:58:32 ID:Vpv8sTSI0
どうせオマエラの限度額なんて¥10万がせいぜいだろw
振り込むなのでセーフか一応
プリペアドステートメントつかえよ
SQLインジェクションでってどこが作ってたですか..
ありえない
ありえない
>>377
当然だな
当然だな
>>375
その2通目ってヤツはうちには来てないのかな。
1通目(?)に「2007年以前〜」と書いてあったからそれで一応安心してたw
>>379
サウンドハウスで使ったカードは確か100万以上(実質無制限)だったと思ったw
その2通目ってヤツはうちには来てないのかな。
1通目(?)に「2007年以前〜」と書いてあったからそれで一応安心してたw
>>379
サウンドハウスで使ったカードは確か100万以上(実質無制限)だったと思ったw
>>382
自社(グループ会社)じゃなかったっけ?
掲示板「音響機器」の「SQLインジェクションについて」の後段読んでみ。笑えるから。
>また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
お前が言うなって感じ。(笑)
自社(グループ会社)じゃなかったっけ?
掲示板「音響機器」の「SQLインジェクションについて」の後段読んでみ。笑えるから。
>また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
お前が言うなって感じ。(笑)
386 :名無しさん@八周年:2008/04/07(月) 21:12:59 ID:jvjOJraD0
387 :名無しさん@八周年:2008/04/07(月) 21:13:44 ID:Vpv8sTSI0
>>385
ありり、最低限これぐらいは出来てるよなと冗談でテストするぐらいですね
見に行ったらIISで運用してた、2003 serverか..
MSSQLってDB側ですら対策を実装してないんですか
DB構築屋もベンダーもオワットルorz..
ありり、最低限これぐらいは出来てるよなと冗談でテストするぐらいですね
見に行ったらIISで運用してた、2003 serverか..
MSSQLってDB側ですら対策を実装してないんですか
DB構築屋もベンダーもオワットルorz..
今頃SQLインジェクション対策とってないなんて。
391 :名無しさん@八周年:2008/04/07(月) 21:43:50 ID:0oy5UlTJ0
NHKでやってたな
今日からNHK見てクレジット屋に電話殺到したら
オペの姉ちゃんキレるかな
オペの姉ちゃんキレるかな
既にカード停止済みの俺は勝ち組。
今日流出対象外メールきたけど。
今日流出対象外メールきたけど。
イン!ジェク!ション! イン!ジェク!ション!
仕事が減ったVB屋が大挙してASPサイトの仕事に乱入してるからな。
あいつらレベルが低すぎてVIEWSTATEとか無駄なパケットを全く気にせず放流するから困る。
ASPサイトはアクセスするのが怖いなぁw
あいつらレベルが低すぎてVIEWSTATEとか無駄なパケットを全く気にせず放流するから困る。
ASPサイトはアクセスするのが怖いなぁw
振込み
偽名
偽生年月日
2006年頃登録
はダイジョブかな・・・
すぐ全登録削除しちゃったからかメールが一通も来ないが・・・
偽名
偽生年月日
2006年頃登録
はダイジョブかな・・・
すぐ全登録削除しちゃったからかメールが一通も来ないが・・・
397 :名無しさん@八周年:2008/04/07(月) 22:00:21 ID:xf3L3Qfv0
ログインしてクレジット番号変えようと思ったけど、
どこで変えるの?
どこで変えるの?
399 :名無しさん@八周年:2008/04/07(月) 22:02:58 ID:KEe2ZERvO
>>362-363
俺がよく見てるcarviewのホームページにも
不正アクセスによるウイルスサイトがなんちゃらがあって、
機能を一時停止させてたって謝罪文が掲載されてた。
一応ウイルススキャンを行って下さいってあったから一応今やってる最中。
NHKの解説では中国のサーバーを経由して
第三者(黒モヤ表示)が何かを行ったみたいだが、
ちょっとこの先が心配だ。
俺がよく見てるcarviewのホームページにも
不正アクセスによるウイルスサイトがなんちゃらがあって、
機能を一時停止させてたって謝罪文が掲載されてた。
一応ウイルススキャンを行って下さいってあったから一応今やってる最中。
NHKの解説では中国のサーバーを経由して
第三者(黒モヤ表示)が何かを行ったみたいだが、
ちょっとこの先が心配だ。
400 :名無しさん@八周年:2008/04/07(月) 22:03:22 ID:8Cxiz0O10
サウンドハウスって前にも侵入されたことあるの?
なんか中国語のサイトで名指しして、進入方法載せてるところがあるっぽいんだが。
ttp://i.mop.com/zcdream/blog
ttp://i.mop.com/zcdream/blog/2006/08/24/2161344.html
あと、ここは進入できたサイトの一覧か?
ttp://www.zone-h.com.cn/index.php?mode=&type=&key=&page=17
こっちも進入先のシステムとか、スクリーンショットとか載ってるっぽい。
数ページいくとsoundhouse.co.jpもあるはず。
どちらのサイトもなんか仕込まれてるかもしれないので、自己責任でどうぞ。
なんか中国語のサイトで名指しして、進入方法載せてるところがあるっぽいんだが。
ttp://i.mop.com/zcdream/blog
ttp://i.mop.com/zcdream/blog/2006/08/24/2161344.html
あと、ここは進入できたサイトの一覧か?
ttp://www.zone-h.com.cn/index.php?mode=&type=&key=&page=17
こっちも進入先のシステムとか、スクリーンショットとか載ってるっぽい。
数ページいくとsoundhouse.co.jpもあるはず。
どちらのサイトもなんか仕込まれてるかもしれないので、自己責任でどうぞ。
>>400
犯人やわw
犯人やわw
VB屋ってエクセル屋でしょorz..
>>400
見に行ってないけど、音屋の中の人は知ってるんだろうか
見に行ってないけど、音屋の中の人は知ってるんだろうか
404 :名無しさん@八周年:2008/04/07(月) 22:17:12 ID:8Cxiz0O10
>>403
どうだろうか。
俺はたった今、出かけて帰ってきて、このスレ見て、そういえば、まだ検索してみてなかったなと、
百度で「soundhouse 黒客」(の簡体字)で検索したら出てきたんで書いた。
どうだろうか。
俺はたった今、出かけて帰ってきて、このスレ見て、そういえば、まだ検索してみてなかったなと、
百度で「soundhouse 黒客」(の簡体字)で検索したら出てきたんで書いた。
405 :名無しさん@八周年:2008/04/07(月) 22:17:29 ID:KEe2ZERvO
アマゾンとかも不正侵入とかされてそうだな。
408 :名無しさん@八周年:2008/04/07(月) 22:30:00 ID:8Cxiz0O10
>>400
あ、いちおうこれを見て百度であちこち検索かける人がいたら注意です。
中国のサイトはアップデートしてないインターネットエクスプローラ(IE)では
見ないほうがいいっす。とにかくあちこちのサイトにいろいろ仕込まれてるから。
Firefoxも安全かどうかはわからないけど、IEよりはたぶん大丈夫・・・・かも。
あ、いちおうこれを見て百度であちこち検索かける人がいたら注意です。
中国のサイトはアップデートしてないインターネットエクスプローラ(IE)では
見ないほうがいいっす。とにかくあちこちのサイトにいろいろ仕込まれてるから。
Firefoxも安全かどうかはわからないけど、IEよりはたぶん大丈夫・・・・かも。
409 :名無しさん@八周年:2008/04/07(月) 22:30:06 ID:lUMbBq0NO
>>409
どんなお嬢さんか気になるよ!
どんなお嬢さんか気になるよ!
413 :名無しさん@八周年:2008/04/07(月) 22:43:56 ID:GHQFNkGI0
414 :名無しさん@八周年:2008/04/07(月) 22:44:04 ID:8Cxiz0O10
415 :名無しさん@八周年:2008/04/07(月) 22:46:20 ID:8Cxiz0O10
416 :名無しさん@八周年:2008/04/07(月) 22:47:21 ID:0oy5UlTJ0
魚拓とっといたほうがいいかも。
418 :名無しさん@八周年:2008/04/07(月) 22:49:03 ID:dennIy2K0
サウンドハウスで機材買ってる有名アーティストって沢山いるはず。
419 :名無しさん@八周年:2008/04/07(月) 22:49:21 ID:z9jy0lpQ0
イーバンクには1万しか入れてないぜw
僕の肛門にもインジェクションされたようです
こんなの中国からのパケット遮断すりゃ終わる話じゃないのか?
422 :名無しさん@八周年:2008/04/07(月) 22:55:51 ID:pfYOFlad0
俺、たった一回の利用で大当たり!
423 :名無しさん@八周年:2008/04/07(月) 22:59:17 ID:GQx7tIFp0
そこら中でオリンピック開催してるんだなw
424 :名無しさん@八周年:2008/04/07(月) 23:03:32 ID:ONMzKFFW0
建設費不足だからといってこれはやり杉
425 :名無しさん@八周年:2008/04/07(月) 23:05:54 ID:BviR91sa0
SQLインジェクションは、作りこんだ奴の無知も責められるべきですな。
もちろん、犯罪犯す奴が一番悪いわけですが。
眼の前にぶらーんとお金がぶら下がってる状態なワケで。
もちろん、犯罪犯す奴が一番悪いわけですが。
眼の前にぶらーんとお金がぶら下がってる状態なワケで。
426 :名無しさん@八周年:2008/04/07(月) 23:06:44 ID:V7hFI2l40
SQLインジェクションのセキュリティホールを残した間抜けエンジニアワロス。
今回の件のシステム担当者はクビになったりすんのかな?
再就職先は無さそうだよな。
再就職先は無さそうだよな。
428 :名無しさん@八周年:2008/04/07(月) 23:08:39 ID:KEe2ZERvO
サウンドハウス以外でもまだ見つかってないだけで、
服屋とか靴屋やCDショップのサイトでもすでにやられてるところもあるだろうな。
服屋とか靴屋やCDショップのサイトでもすでにやられてるところもあるだろうな。
429 :名無しさん@八周年:2008/04/07(月) 23:09:27 ID:KTzuL2cP0
SQLインジェクション攻撃...
って、おまい、基本中の基本だろ
だめだこりゃ
って、おまい、基本中の基本だろ
だめだこりゃ
430 :名無しさん@八周年:2008/04/07(月) 23:10:16 ID:OaAwzTM80
で、サウンドハウスはどんなワビを入れてくれるわけ?
このまま終わりじゃないよね。
このまま終わりじゃないよね。
431 :名無しさん@八周年:2008/04/07(月) 23:11:58 ID:igMty6th0
またしてもWindows鯖なわけだが・・・。
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp/
しかし、SQLインジェクションを狙い打ってるというが、
Web+DBなんてApache+MySQLの方が割合が大きいだろうに。
IIS+MS SQLだけクラックされるって何か別の要因があんじゃね?
432 :名無しさん@八周年:2008/04/07(月) 23:18:22 ID:GFfvj1V10
登録してたメールアドレスは音屋以外で使わない方がいいのかな
いろんなサイトで同じパスワードやらアドレスを使ってたんだけど…
いろんなサイトで同じパスワードやらアドレスを使ってたんだけど…
NGワード→@
>>400
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
435 :名無しさん@八周年:2008/04/07(月) 23:24:40 ID:8Cxiz0O10
>>400にあげたブログの方を読んでるけど、
soundhouse.co.jpを例に NBSI3.0 Hack520 Professional版というクラック用
アプリを使用してクラックする方法を説明しているようだ。
soundhouse.co.jpを例に NBSI3.0 Hack520 Professional版というクラック用
アプリを使用してクラックする方法を説明しているようだ。
437 :名無しさん@八周年:2008/04/07(月) 23:26:15 ID:Q3VC5uDO0
>>429
今でこそ常識だけど5年くらい前には気にしてる奴なんてほとんどいなかったと思うぞ。
価格.comの騒ぎの後かなり話題になって警告されて多くのところが対応したと思うけど、
どちらかと言えば放置してたサウンドハウスの責任が大きい。
もっとも価格.comの一件より後に作られたシステムなら作った側の能力に問題ありだが。
今でこそ常識だけど5年くらい前には気にしてる奴なんてほとんどいなかったと思うぞ。
価格.comの騒ぎの後かなり話題になって警告されて多くのところが対応したと思うけど、
どちらかと言えば放置してたサウンドハウスの責任が大きい。
もっとも価格.comの一件より後に作られたシステムなら作った側の能力に問題ありだが。
438 :名無しさん@八周年:2008/04/07(月) 23:30:32 ID:8Cxiz0O10
とりあえず、>>400の下のサイトでjpドメインだけ検索してみた。やられたっぽい履歴一覧。
2008-02-24 [ロ黒]色ゞ深処 #yufuin.coara.or.jp/test.txt #
2008-02-24 [ロ黒]色ゞ深処 #www.soufusha.jp/test.txt #
#
2008-02-23 Mistakes #www.linux.or.jp/JF/JFdocs/hacker.txt #
2008-02-23 Mistakes #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2008-02-18 電脳迷 #www.soundhouse.co.jp/jslib/asp1.asp #
2008-02-18 [ロ黒]色ゞ深処 #www.icnet.co.jp/ #
2008-01-31 紅蜘蛛 #www.graphk.co.jp/sts/redspider.htm #
2008-01-30 易献闊海 #001.shanbara.jp/jukujo/index.html #
2007-12-26 Ziv #tweb.omt.ne.jp/ #
2007-12-09 日[イ尓] #www.cognite.jp/up/img/moeup3183.phps #
2007-12-06 紅蜘蛛 #www.million-city.jp/uped/hongzz.php #
2007-12-05 日[イ尓] #diced.jp/~pawapolu/cgi-bin/up/img/129.html #
2007-09-04 相思的雨 #orange-army.ddo.jp #
2007-07-20 evbs #www.linux.or.jp/JF/JFdocs/hacker.txt #
2007-07-20 evbs #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2007-07-06 城市游魂 #www.shoshagc.co.jp #
2007-04-24 巫卒 #www.jcc-net.co.jp/CN/newfile.asp #
2007-04-23 梦云 #www.pref.osaka.jp #
2006-12-26 d0n63r #www3.wind.ne.jp/habe/cgi-bin/trbbs/bbs/d0n63r.txt #
2006-08-31 銀色上帝 #www.izuhakone.co.jp/ #
2006-07-28 小鬼 #rogue.clique.jp/upload/dat/r1051.txt #
2006-07-27 水晶流星 #www.n11.jp/test.txt
2006-07-27 水晶流星 #www.realrock.co.jp/test.txt #
2006-05-20 余興 #www.eart.ne.jp #
2008-02-24 [ロ黒]色ゞ深処 #yufuin.coara.or.jp/test.txt #
2008-02-24 [ロ黒]色ゞ深処 #www.soufusha.jp/test.txt #
#
2008-02-23 Mistakes #www.linux.or.jp/JF/JFdocs/hacker.txt #
2008-02-23 Mistakes #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2008-02-18 電脳迷 #www.soundhouse.co.jp/jslib/asp1.asp #
2008-02-18 [ロ黒]色ゞ深処 #www.icnet.co.jp/ #
2008-01-31 紅蜘蛛 #www.graphk.co.jp/sts/redspider.htm #
2008-01-30 易献闊海 #001.shanbara.jp/jukujo/index.html #
2007-12-26 Ziv #tweb.omt.ne.jp/ #
2007-12-09 日[イ尓] #www.cognite.jp/up/img/moeup3183.phps #
2007-12-06 紅蜘蛛 #www.million-city.jp/uped/hongzz.php #
2007-12-05 日[イ尓] #diced.jp/~pawapolu/cgi-bin/up/img/129.html #
2007-09-04 相思的雨 #orange-army.ddo.jp #
2007-07-20 evbs #www.linux.or.jp/JF/JFdocs/hacker.txt #
2007-07-20 evbs #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2007-07-06 城市游魂 #www.shoshagc.co.jp #
2007-04-24 巫卒 #www.jcc-net.co.jp/CN/newfile.asp #
2007-04-23 梦云 #www.pref.osaka.jp #
2006-12-26 d0n63r #www3.wind.ne.jp/habe/cgi-bin/trbbs/bbs/d0n63r.txt #
2006-08-31 銀色上帝 #www.izuhakone.co.jp/ #
2006-07-28 小鬼 #rogue.clique.jp/upload/dat/r1051.txt #
2006-07-27 水晶流星 #www.n11.jp/test.txt
2006-07-27 水晶流星 #www.realrock.co.jp/test.txt #
2006-05-20 余興 #www.eart.ne.jp #
439 :名無しさん@八周年:2008/04/07(月) 23:34:14 ID:8Cxiz0O10
>>438の続き。
2006-04-02 WebShell #www.neosys.ne.jp/haigyo/hack.htm #
2006-03-24 馬駿 #www.chial.jp/fuck.htm #
2006-01-19 深白色 #shop.mado.ne.jp/ #
2006-01-18 海東青 #www.k-tg.co.jp/equip_e00.html #
2006-01-16 深白色 #www.cycletour.co.jp/pht.htm #
2006-01-16 深白色 #db.gpn.co.jp/kml.htm #
2006-01-16 深白色 #shiro.mado.ne.jp/pcz.htm #
2006-01-16 深白色 #www.entity.co.jp/mud.htm #
2006-01-16 深白色 #www.ybnet.jp/~ishigaki/chokaimachi.html #
2006-01-16 深白色 #mail.entity.co.jp/mud.htm #
2006-01-10 海東青 #www5.gpjco.jp/iisstart.asp #
2006-01-06 深白色 #www.venture.jp/ #
2006-01-06 深白色 #shop.venture.or.jp/ #
2006-01-06 深白色 #shop.venture.jp #
2006-01-06 netdevil #ecc.venture.jp/ #
2005-11-23 七七紅客技術聯盟 #www.fujioka.co.jp/index.asp #
2005-11-19 C.F.U #bousai.wiznet.co.jp/ #
>>434
やった奴のハンドルネームは「電脳迷」(パソコンおたく)。
2006-04-02 WebShell #www.neosys.ne.jp/haigyo/hack.htm #
2006-03-24 馬駿 #www.chial.jp/fuck.htm #
2006-01-19 深白色 #shop.mado.ne.jp/ #
2006-01-18 海東青 #www.k-tg.co.jp/equip_e00.html #
2006-01-16 深白色 #www.cycletour.co.jp/pht.htm #
2006-01-16 深白色 #db.gpn.co.jp/kml.htm #
2006-01-16 深白色 #shiro.mado.ne.jp/pcz.htm #
2006-01-16 深白色 #www.entity.co.jp/mud.htm #
2006-01-16 深白色 #www.ybnet.jp/~ishigaki/chokaimachi.html #
2006-01-16 深白色 #mail.entity.co.jp/mud.htm #
2006-01-10 海東青 #www5.gpjco.jp/iisstart.asp #
2006-01-06 深白色 #www.venture.jp/ #
2006-01-06 深白色 #shop.venture.or.jp/ #
2006-01-06 深白色 #shop.venture.jp #
2006-01-06 netdevil #ecc.venture.jp/ #
2005-11-23 七七紅客技術聯盟 #www.fujioka.co.jp/index.asp #
2005-11-19 C.F.U #bousai.wiznet.co.jp/ #
>>434
やった奴のハンドルネームは「電脳迷」(パソコンおたく)。
2007年1月以降登録・カード使ってない人用のメールが今来た
パス同じの使ってるとこはなかったけどやな気分だなー
パス同じの使ってるとこはなかったけどやな気分だなー
441 :名無しさん@八周年:2008/04/07(月) 23:38:40 ID:Xr/XKM/E0
また三国人か
と言いたいがこういうのは間違いなくゾンビPC経由だから
中国人が犯人とは言えないんだよな
前の銀行サイト使ったフィッシング詐欺は
日本のゾンビPC使ったロシアマフィアの犯罪だったし
と言いたいがこういうのは間違いなくゾンビPC経由だから
中国人が犯人とは言えないんだよな
前の銀行サイト使ったフィッシング詐欺は
日本のゾンビPC使ったロシアマフィアの犯罪だったし
漏洩に遭った利用者だけどちょっとwktkstkt
443 :名無しさん@八周年:2008/04/07(月) 23:40:09 ID:lLaICbRU0
今時SQLインジェクション・・・って思ったが、この前トレンドマイクロのサイトがやられたのもこれだし、
企業系でありながらほったらかしが多いってことなのか・・・・
企業系でありながらほったらかしが多いってことなのか・・・・
中国からの相互アクセス禁止にしろよw
446 :名無しさん@八周年:2008/04/07(月) 23:44:01 ID:hZAkoJoL0
>>434
誰かこの糞チャンコロを吊してはくれまいか
誰かこの糞チャンコロを吊してはくれまいか
447 :名無しさん@八周年:2008/04/07(月) 23:44:55 ID:lLaICbRU0
こ、これは!!
管理者権限のっとられて
vb.exe をすり替えられてるwwww
管理者権限のっとられて
vb.exe をすり替えられてるwwww
>>406
>4月23日に発生した不正アクセスによる障害により、代替ページで対応しておりましたが、
>5月9日付けで一部のページを除き復旧いたしました。<br> 利用者の皆様にご不便を
>おかけしましたことをお詫び申し上げます。
ソース内の表記。
2007-04-23 梦云 http://www.pref.osaka.jp 快照
時期も一致。
---
Microsoft Windows Server 2008 R2 [?豎? 5.2.3790]
(C) ?貶??? 2000-2008 Microsoft Corp.
C:>net user ???? ???? /add
??マ????????
C:>net localgroup administrators ???? /add
??マ????????
略
C:>format C:/q
略
---
こんなモノが表示されてたらしい。
>4月23日に発生した不正アクセスによる障害により、代替ページで対応しておりましたが、
>5月9日付けで一部のページを除き復旧いたしました。<br> 利用者の皆様にご不便を
>おかけしましたことをお詫び申し上げます。
ソース内の表記。
2007-04-23 梦云 http://www.pref.osaka.jp 快照
時期も一致。
---
Microsoft Windows Server 2008 R2 [?豎? 5.2.3790]
(C) ?貶??? 2000-2008 Microsoft Corp.
C:>net user ???? ???? /add
??マ????????
C:>net localgroup administrators ???? /add
??マ????????
略
C:>format C:/q
略
---
こんなモノが表示されてたらしい。
449 :名無しさん@八周年:2008/04/07(月) 23:47:22 ID:cAnB/Ou/0
Windows鯖、阿鼻叫喚の図ww
450 :名無しさん@八周年:2008/04/07(月) 23:50:14 ID:WVy8okDX0
数年前親に頼んで親のクレジットカードで買ってもらったんだけど、
これって即親に伝えといた方がいいよね?
これって即親に伝えといた方がいいよね?
451 :名無しさん@八周年:2008/04/07(月) 23:51:07 ID:eBRUzuxT0
中国のサイトって、トロイ仕込むようなのばっか。
中国人は犯罪者ばっかwww
中国人は犯罪者ばっかwww
452 :名無しさん@八周年:2008/04/07(月) 23:52:13 ID:/gEOoq9S0
不法侵入強盗を生業とする国でオリンピックとかwwwwwwwwwwww
453 :450:2008/04/07(月) 23:52:26 ID:WVy8okDX0
あ、2007年1月1日〜2008年3月22日までの間に新規登録した場合のみなのか、、
自己解決しましたすいません。
自己解決しましたすいません。
454 :名無しさん@八周年:2008/04/07(月) 23:54:51 ID:lBpaBSfM0
メールきた
もうここでは二度と買わない
----------------------
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
お客様が弊社に登録している情報の中には、流出した項目に含まれている
クレジットカード情報が無い為、カード情報に関する問題は一切ありません。
但し、・お名前 ・フリガナ ・性別 ・生年月日 ・ログイン用メールアドレス
・ログイン用パスワード
につきましては、大変申し訳ございませんが、流出の対象となります。
(以下省略)
もうここでは二度と買わない
----------------------
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
お客様が弊社に登録している情報の中には、流出した項目に含まれている
クレジットカード情報が無い為、カード情報に関する問題は一切ありません。
但し、・お名前 ・フリガナ ・性別 ・生年月日 ・ログイン用メールアドレス
・ログイン用パスワード
につきましては、大変申し訳ございませんが、流出の対象となります。
(以下省略)
458 :名無しさん@八周年:2008/04/08(火) 00:07:35 ID:vknk5Nsd0
電話が漏れなかったらしいのはせめてもの救い
459 :名無しさん@八周年:2008/04/08(火) 00:11:45 ID:W434ZD/s0
メールが来た
461 :名無しさん@八周年:2008/04/08(火) 00:12:08 ID:VETH43ar0
>>454
俺も同じ内容のメールが来てた。
「メアドや名前は出たかもしれないけど、クレカ情報やら住所なんか出て無いよ。
たいしたこと無くてよかったな。」みたいな内容…ふざけんなよな。
もちろんクレカ情報なんかシャレにならないけど、名前程度ならいいってわけでもないだろ。
とにかく、もう俺もここでは買えない、怖い。
多少高くても他で買う。
俺も同じ内容のメールが来てた。
「メアドや名前は出たかもしれないけど、クレカ情報やら住所なんか出て無いよ。
たいしたこと無くてよかったな。」みたいな内容…ふざけんなよな。
もちろんクレカ情報なんかシャレにならないけど、名前程度ならいいってわけでもないだろ。
とにかく、もう俺もここでは買えない、怖い。
多少高くても他で買う。
SQLインジェクションって・・・・・・どんな酷いプログラムだったんだw
464 :名無しさん@八周年:2008/04/08(火) 00:14:41 ID:JBefxmZ60
再発行したけどカード番号って何桁くらい変わるんだ?
465 :名無しさん@八周年:2008/04/08(火) 00:15:20 ID:qIDQyyof0
中国人や文系が穴を作りまくる。
>>464
桁数がそんなに重要な理由てなに?
桁数がそんなに重要な理由てなに?
467 :名無しさん@八周年:2008/04/08(火) 00:16:21 ID:wox6X9AV0
もう中国許すなよ。あいつら国を挙げて犯罪者。
見つけ次第、殺せばいい。
見つけ次第、殺せばいい。
468 :名無しさん@八周年:2008/04/08(火) 00:16:32 ID:WPYlWrxx0
こうゆうシステムのパスワードって不可逆暗号でBDに保存されてるんでしょ?
でもたまに、「パスワードを忘れた際は、こちらのフォームよりお問い合わせ下さい」みたいなシステムもあるけど、
そうゆうのってどうしてるんだ?
でもたまに、「パスワードを忘れた際は、こちらのフォームよりお問い合わせ下さい」みたいなシステムもあるけど、
そうゆうのってどうしてるんだ?
メールきた
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度は、お客様情報の流出、及び度々のメール配信で大変ご迷惑をおかけしております。
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
誠に申し訳ございませんでした。
ご不明な点、ご心配な点がございましたら、弊社までご連絡をいただければ幸いです。
今後ともよろしくお願い致します。
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度は、お客様情報の流出、及び度々のメール配信で大変ご迷惑をおかけしております。
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
誠に申し訳ございませんでした。
ご不明な点、ご心配な点がございましたら、弊社までご連絡をいただければ幸いです。
今後ともよろしくお願い致します。
バインドキボンヌ
SQLインジェクション対策は確かに基礎中の基礎なんだが、日本語みたいな2byte圏の言語を扱う場合、そんな単純な話ではないよ。
今回みたいに特定の鯖構成の複数のサイトがクラックされてる場合、例えばエスケープ処理を行う関数に特定の文字列の組み合わせで発生するバグがあって、エスケープ処理行ってるつもりでも、出来てなかったりね
例えばMySQLのエスケープ処理用の関数は何回も修正を重ねてる(その中には日本語特有のものもある)けど、そんなの知らずに使ってる人の方が多いでしょ
今回みたいに特定の鯖構成の複数のサイトがクラックされてる場合、例えばエスケープ処理を行う関数に特定の文字列の組み合わせで発生するバグがあって、エスケープ処理行ってるつもりでも、出来てなかったりね
例えばMySQLのエスケープ処理用の関数は何回も修正を重ねてる(その中には日本語特有のものもある)けど、そんなの知らずに使ってる人の方が多いでしょ
472 :名無しさん@八周年:2008/04/08(火) 00:19:05 ID:4GusRJ6l0
そORマッピングとは言わなくとも、変数バインドくらいはしようよ・・・
>>468
パスワード作り直しじゃないかな
パスワード作り直しじゃないかな
474 :名無しさん@八周年:2008/04/08(火) 00:20:11 ID:Q6lMqvmS0
>>469と同じ内容のメールが来た
これはアウトってことか…orz
これはアウトってことか…orz
集団訴訟でしょ
477 :名無しさん@八周年:2008/04/08(火) 00:22:22 ID:jFEM5FND0
>>400の下のデータベースサイトは各クラッカーが集まるサイトや掲示板につながるリンクが左下にある。
一部の掲示板を見ると、ユーザ登録するか、仲間になるかどちらかで、
詳細な書き込みを見れると思われる。
10000以上の書き込みがある板もあるので、結構人が集まってそう。
中国の公安が本気になれば一網打尽なんだけど・・・
無理でしょうね。
>>455
その辺、お任せします。
一部の掲示板を見ると、ユーザ登録するか、仲間になるかどちらかで、
詳細な書き込みを見れると思われる。
10000以上の書き込みがある板もあるので、結構人が集まってそう。
中国の公安が本気になれば一網打尽なんだけど・・・
無理でしょうね。
>>455
その辺、お任せします。
478 :名無しさん@八周年:2008/04/08(火) 00:22:29 ID:xc2nbYIo0
一昨日問い合わせメール送った返事こないんだけど放置かな
479 :名無しさん@八周年:2008/04/08(火) 00:24:11 ID:WPYlWrxx0
480 :名無しさん@八周年:2008/04/08(火) 00:27:18 ID:TyAE/niU0
'とかの記号を全角に変換すればいいのだろ?
違うのか?インチキSEやってる俺は、その程度くらいしか
してこなかったぞ?
違うのか?インチキSEやってる俺は、その程度くらいしか
してこなかったぞ?
>>468
可逆性の暗号化処理をしている場合、何らかをキーとして暗号化・複号化してる
同じパスワードを再発行できるメリットはあるが、複号用の処理がバレたら終わり
不可逆性の暗号化の場合、当たり前だけど同じパスワードを再発行するのは不可能なので、新しいパスワードを再発行して、それをユーザー用の新パスワードとして設定し、新パスワードをユーザーに通知する
可逆性の暗号化処理をしている場合、何らかをキーとして暗号化・複号化してる
同じパスワードを再発行できるメリットはあるが、複号用の処理がバレたら終わり
不可逆性の暗号化の場合、当たり前だけど同じパスワードを再発行するのは不可能なので、新しいパスワードを再発行して、それをユーザー用の新パスワードとして設定し、新パスワードをユーザーに通知する
482 :名無しさん@八周年:2008/04/08(火) 00:30:39 ID:4GusRJ6l0
SQL言語をいつまで使い続けるんだろうな。
>>479
色々な意味で良くないな。
・可逆の文字列で(もしくはそのまま)保存している
・ネットワーク上でメールを盗聴されることを考えていない
・自分のPCやWebメール上にパスワードの文字列が残ること自体良くない。
色々な意味で良くないな。
・可逆の文字列で(もしくはそのまま)保存している
・ネットワーク上でメールを盗聴されることを考えていない
・自分のPCやWebメール上にパスワードの文字列が残ること自体良くない。
485 :名無しさん@八周年:2008/04/08(火) 00:35:12 ID:WPYlWrxx0
>>481
なるほど。
新パスワードを発行して、それでもしそのシステムがパスワードを自由に変更可能なシステムなら
その新パスワードでログインし、新たにパスワードを設定することができるって訳か。
ありがとう。
勉強になった。
なるほど。
新パスワードを発行して、それでもしそのシステムがパスワードを自由に変更可能なシステムなら
その新パスワードでログインし、新たにパスワードを設定することができるって訳か。
ありがとう。
勉強になった。
486 :名無しさん@八周年:2008/04/08(火) 00:38:10 ID:lHgFxHUF0
このお知らせの宛先となっているお客様につきましては、今回流出した情報の
対象者ではないことを第三者機関による調査により確認しておりますので、
ご安心ください。
↑
サウンドハウスからこんな内容のお知らせメールが来た。
いい加減かと思ったら結構ちゃんと調査してくれてたみたい。
とりあえずこれで安心した。
安くて良いお店だなと思ってたけど、状況が落ち着くまで2年間くらい買わないで様子見てみようと思う。
対象者ではないことを第三者機関による調査により確認しておりますので、
ご安心ください。
↑
サウンドハウスからこんな内容のお知らせメールが来た。
いい加減かと思ったら結構ちゃんと調査してくれてたみたい。
とりあえずこれで安心した。
安くて良いお店だなと思ってたけど、状況が落ち着くまで2年間くらい買わないで様子見てみようと思う。
.htaccessで.cnを弾いとけばおk?
488 :名無しさん@八周年:2008/04/08(火) 00:39:04 ID:VrsWuS+k0
490 :名無しさん@八周年:2008/04/08(火) 00:42:38 ID:4GusRJ6l0
491 :名無しさん@八周年:2008/04/08(火) 00:42:58 ID:jFEM5FND0
サウンドハウスの場合、クラック方法がブログに載せられたのが>>400にもあるように
2006年8月24日になっているので、それ以前にクラックされている可能性が高い。
といことは情報漏れもそれ以前からあった可能性があるということ。
中国のネットで公開されていた情報なんでクラックした本人や手法を解説している奴らが
実際にカード番号まで盗んで使っていたかは微妙な感じ。
やっていたとしてもバレないようにちょっとずつやってたのが、マフィアかなんかが
盗んだ情報で一斉に大量不正使用してバレたって気もする。
情報公開されてから、話が大きくなるまで大分時間がかかってるんで(1年半?)。
そうなると本当にカードを使った奴らを捕まえるのは大変そう。
日本が捜査を頼んでもやらないだろうし、日本の外交が弱いのがこういうのでも利いてきてる・・・
2006年8月24日になっているので、それ以前にクラックされている可能性が高い。
といことは情報漏れもそれ以前からあった可能性があるということ。
中国のネットで公開されていた情報なんでクラックした本人や手法を解説している奴らが
実際にカード番号まで盗んで使っていたかは微妙な感じ。
やっていたとしてもバレないようにちょっとずつやってたのが、マフィアかなんかが
盗んだ情報で一斉に大量不正使用してバレたって気もする。
情報公開されてから、話が大きくなるまで大分時間がかかってるんで(1年半?)。
そうなると本当にカードを使った奴らを捕まえるのは大変そう。
日本が捜査を頼んでもやらないだろうし、日本の外交が弱いのがこういうのでも利いてきてる・・・
492 :名無しさん@八周年:2008/04/08(火) 00:44:05 ID:+Tpm8UHu0
今時、SQLインジェクションの穴丸出しサーバが存在していることが驚きだな。
ってか、公開サーバからDBにSQL丸投げてる時点で阿呆だろ。
そして、DBから外部サーバにデータを通す設定になっているのが信じられん。
簡単に言えば、セキュリティーなんて糞食らえというセキュリティーポリシーだった訳だな。
ってか、公開サーバからDBにSQL丸投げてる時点で阿呆だろ。
そして、DBから外部サーバにデータを通す設定になっているのが信じられん。
簡単に言えば、セキュリティーなんて糞食らえというセキュリティーポリシーだった訳だな。
こっちは犯罪組織に悪用されるリスク背負わされた上
カード変更、引き落とし登録カード再度設定等
無駄な時間・手続き・不便をサウンドハウスが
安易なセキュリティしか施さなかった為強いられている。
ごめんで済んだら警察要らない
カード変更、引き落とし登録カード再度設定等
無駄な時間・手続き・不便をサウンドハウスが
安易なセキュリティしか施さなかった為強いられている。
ごめんで済んだら警察要らない
494 :今日も雲弧 ◆bKaGbR8Ka. :2008/04/08(火) 00:51:42 ID:Atv0Ug5w0
2004年頃に大手派遣会社の多くがSQLインジェクションで情報を
抜かれたという噂がある。(なかなか警察に届けずに、独自捜査
していたという噂もあった。)
抜かれたという噂がある。(なかなか警察に届けずに、独自捜査
していたという噂もあった。)
496 :名無しさん@八周年:2008/04/08(火) 01:07:22 ID:+AlZrGIF0
>>495
3月の時点で、もしブログと同様の状態だったら
サーバ毎バックアップ取れるぞw って位の惨状だよorz
世の中にクッキーを必需とするサイトが多すぎる
ECサイトは食ってはいかんと思うな
クッキーはoffにしたいんだけど、現状何かと不便だよね
3月の時点で、もしブログと同様の状態だったら
サーバ毎バックアップ取れるぞw って位の惨状だよorz
世の中にクッキーを必需とするサイトが多すぎる
ECサイトは食ってはいかんと思うな
クッキーはoffにしたいんだけど、現状何かと不便だよね
497 :名無しさん@八周年:2008/04/08(火) 01:09:21 ID:H9AxWurN0
もはやカオス
498 :名無しさん@八周年:2008/04/08(火) 01:13:23 ID:jFEM5FND0
>>400
上のブログはサイトごと落ちたみたい。
キャッシュの方ですけど貼っておきます。
ttp://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763104dc0666e0bdd212bd7a744228b8e00c2321b161439feeb797f4519d3c77e631cad4341eaf62b72340723b69dce9f4aaae1d477719c6269304a89&p=9f769a44d5934ea95df1ca26514495&user=baidu
上のブログはサイトごと落ちたみたい。
キャッシュの方ですけど貼っておきます。
ttp://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763104dc0666e0bdd212bd7a744228b8e00c2321b161439feeb797f4519d3c77e631cad4341eaf62b72340723b69dce9f4aaae1d477719c6269304a89&p=9f769a44d5934ea95df1ca26514495&user=baidu
499 :名無しさん@八周年:2008/04/08(火) 01:16:21 ID:cjMUDFwf0
こういうのって訴訟しても慰謝料は微々たるもの?
不特定多数の人に名前や生年月日等まで知られて
何に利用されるか分からない不安
他の支払いにもカード利用してるから
全部にいちいち手続きし直さなきゃならない手間
なんなのこれ・・・
こんなショボいものを使ってた企業の責任は?
法整備されてないの?
不特定多数の人に名前や生年月日等まで知られて
何に利用されるか分からない不安
他の支払いにもカード利用してるから
全部にいちいち手続きし直さなきゃならない手間
なんなのこれ・・・
こんなショボいものを使ってた企業の責任は?
法整備されてないの?
来たメールが偽者の可能性も排除出来ない。
家具屋(ファニチャーハウス)の方はどうなのよ?
そっちのもデータベース共通だろ?
そっちのもデータベース共通だろ?
はやく>>400を音屋とマカフィーと警察に!
だれかはやく!
だれかはやく!
SQLの問題じゃなくてWeb上のフォームから入力されたデータを
ちゃんと精査しないのが原因。例えばIDやパスは英数字n桁までとか、
しっかりパターンマッチしておけば汚染されたデータで穴を突かれない。
すべてのフォームデータを厳密にチェックしないとSQL以外でも穴ができる。
例えば read.cgi?page=1207525293 で、ファイル 1207525293.dat を
読み込んで表示する時、pageが英数字かどうかチェックしてなかったら
perlのopen関数などでは任意のコマンドを実行されたりする。
aspが狙われるのは社内システム用のフォームとWebフォームを
同じような感覚で作って、フォームデータの精査をしないためだろう。
ちゃんと精査しないのが原因。例えばIDやパスは英数字n桁までとか、
しっかりパターンマッチしておけば汚染されたデータで穴を突かれない。
すべてのフォームデータを厳密にチェックしないとSQL以外でも穴ができる。
例えば read.cgi?page=1207525293 で、ファイル 1207525293.dat を
読み込んで表示する時、pageが英数字かどうかチェックしてなかったら
perlのopen関数などでは任意のコマンドを実行されたりする。
aspが狙われるのは社内システム用のフォームとWebフォームを
同じような感覚で作って、フォームデータの精査をしないためだろう。
505 :名無しさん@八周年:2008/04/08(火) 01:46:06 ID:mWSOy5+P0
↓高木浩光がサウンドハウスを貶す一言
サウンドハウスとツーハンドソードは似ている
507 :名無しさん@八周年:2008/04/08(火) 02:06:25 ID:1FBEzA1IO
>>506
通販でソードなんか買うなよ…
通販でソードなんか買うなよ…
さっきサウンドハウスから
「クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。」
って来たが・・・・
うーむ3/1に新規登録してカードで買い物してるし。
昼にカード会社に電話したら該当だって言われて再交付したんだよな。
嘘くせー
「クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。」
って来たが・・・・
うーむ3/1に新規登録してカードで買い物してるし。
昼にカード会社に電話したら該当だって言われて再交付したんだよな。
嘘くせー
510 :名無しさん@八周年:2008/04/08(火) 02:15:25 ID:cjMUDFwf0
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20080328nt07.htm
>クレジットカード番号などの個人情報を収集するのが目的だ
ふと思ったんだが
日本人の個人情報をどう利用するの?
カードで買い物?
名簿売買?
>クレジットカード番号などの個人情報を収集するのが目的だ
ふと思ったんだが
日本人の個人情報をどう利用するの?
カードで買い物?
名簿売買?
>>580
サウンドハウスのページの会員登録には、
カード番号を登録する欄は無い。
住所や氏名やメアドは登録するけれど、カード番号は会員登録には関係ない。
で、買い物をするときに、カード番号を手入力する方式。
ただし、オプション的扱いで、次回からの買い物を便利にするために、カード番号を記憶することはできた。
>>508はカード番号の記憶をさせなかったんではないか?
サウンドハウスのページの会員登録には、
カード番号を登録する欄は無い。
住所や氏名やメアドは登録するけれど、カード番号は会員登録には関係ない。
で、買い物をするときに、カード番号を手入力する方式。
ただし、オプション的扱いで、次回からの買い物を便利にするために、カード番号を記憶することはできた。
>>508はカード番号の記憶をさせなかったんではないか?
513 :名無しさん@八周年:2008/04/08(火) 02:35:31 ID:EwcJeTsS0
515 :名無しさん@八周年:2008/04/08(火) 02:42:56 ID:mWSOy5+P0
>>513
資格や職歴とかは別テーブルだな
資格や職歴とかは別テーブルだな
元は同一かも知れんけど不正アクセスした奴と
オンラインゲームで決済した奴と2種類あるんじゃないの?
警察を動かせば決済した奴のプロバとかポイント流した先とか
追っかけれるんじゃ?
3月中旬の時点では俺の一件だけで警察は動かせんみたいな事を
カード会社は言ってたけどここまできたらできるよね?
オンラインゲームで決済した奴と2種類あるんじゃないの?
警察を動かせば決済した奴のプロバとかポイント流した先とか
追っかけれるんじゃ?
3月中旬の時点では俺の一件だけで警察は動かせんみたいな事を
カード会社は言ってたけどここまできたらできるよね?
パスワードリセットさえ出来ない
メアドが複数登録されてるってさ。
もー漏れまくりックスですか
メアドが複数登録されてるってさ。
もー漏れまくりックスですか
519 :名無しさん@八周年:2008/04/08(火) 08:08:24 ID:9/OF1nuAO
技術者を正規雇用せず目先の利益に捕われ
また下請け下請けの構造がこういう結果をもたらしている。
通常、こんなミスは考えられない。ましてプロだろ。
また下請け下請けの構造がこういう結果をもたらしている。
通常、こんなミスは考えられない。ましてプロだろ。
個人情報の流出/対象のお客様について サウンドハウス
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
クレカで買ったんだが本当に無問題?
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
クレカで買ったんだが本当に無問題?
521 :名無しさん@八周年:2008/04/08(火) 09:40:18 ID:U8+R0Csx0
>>521
イヤホン買ったのだがバイブとかじゃなくて良かったよ
イヤホン買ったのだがバイブとかじゃなくて良かったよ
523 :名無しさん@八周年:2008/04/08(火) 09:47:12 ID:gFqwp/BO0
まーいつかどこかでこういう事が起きるって思ってたから
別にショックってことはないな。
情報漏れたかもしらんけどカードの利用内容は毎月確認してるし。
別にショックってことはないな。
情報漏れたかもしらんけどカードの利用内容は毎月確認してるし。
524 :名無しさん@八周年:2008/04/08(火) 09:56:06 ID:shm89Ftw0
さんざん既出で安心したが
いまどきSQLインジェクションで流出てw
どんだけシロウトだよ
全く同情に値しない
いまどきSQLインジェクションで流出てw
どんだけシロウトだよ
全く同情に値しない
>>499
ソフトバンクの禿がやらかした時は500円の商品券だったよ…
ttp://internet.watch.impress.co.jp/cda/news/2004/02/27/2252.html
ソフトバンクの禿がやらかした時は500円の商品券だったよ…
ttp://internet.watch.impress.co.jp/cda/news/2004/02/27/2252.html
SBのはクレカ洩れてないから。
実質日本初の大惨事でしょコレw
実質日本初の大惨事でしょコレw
528 :名無しさん@八周年:2008/04/08(火) 10:53:34 ID:qTKfN9eM0
529 :名無しさん@八周年:2008/04/08(火) 10:55:25 ID:s4ibp/lT0
web系は、なんちゃってプログラマが多いからな
530 :名無しさん@八周年:2008/04/08(火) 10:56:02 ID:n+nbiqIU0
ゲーム系ほどじゃないがな
531 :名無しさん@八周年:2008/04/08(火) 11:01:33 ID:dSN2eEth0
これで 被害国は俺ら(中国)だって言ってのけるんだから、民度低すぎるわな。
それとも中国の支配力が低下しちゃってるのかい?
それとも中国の支配力が低下しちゃってるのかい?
532 :名無しさん@八周年:2008/04/08(火) 11:04:12 ID:fXM/IN320
鹿せんべい(゚д゚)ウマー
ええ、自分のとこにも名前と住所漏れたってメール来たよ(´・ω・`)
銀行振り込みだからクレカ情報は登録してなくてよかったけど
最近PS3でも情報漏えいあったし流行ってんのか・・・
銀行振り込みだからクレカ情報は登録してなくてよかったけど
最近PS3でも情報漏えいあったし流行ってんのか・・・
529さんがいってる通りWEBアプリは危険がいっぱいです。
一部には安い韓国人や中国人に○投げのとこもあります。
あやしいと思ったら使わないことをオススメします。
一部には安い韓国人や中国人に○投げのとこもあります。
あやしいと思ったら使わないことをオススメします。
素人なんでアプリとかプログラムとかわからんけど、何故か会社見る目はあるんで、
危ないと思ってるところは安くても避けるようにするわ。
危ないと思ってるところは安くても避けるようにするわ。
536 :名無しさん@八周年:2008/04/08(火) 11:16:45 ID:7XbJH3ok0
IIS + SQL の ASP 実装のECサイでカードを使うのは危険
これが、現時点での常識となりましたorz
これが、現時点での常識となりましたorz
それでもHackerSafeは貼ってあるのなw
538 :名無しさん@八周年:2008/04/08(火) 11:23:16 ID:MTcfFU/h0
最近やたらとSQLインジェクションによる被害が多いな。
てか、日本のECサイトはセキュリティホールが多すぎ。
amazonでも、クロスサイトスプリティングが可能なことが判明したし。
クレジットカード番号だけは怖くて登録できない。
てか、日本のECサイトはセキュリティホールが多すぎ。
amazonでも、クロスサイトスプリティングが可能なことが判明したし。
クレジットカード番号だけは怖くて登録できない。
あっちのニュー速はdat落ちしちゃったな
>>539
立ってるけど、スレタイがサウンドカードになってるので伸びてない
千葉の「サウンドカード」クレジット番号含む顧客情報10万人分流出か・・・中国経由で不正アクセス
http://namidame.2ch.net/test/read.cgi/news/1207587919/
立ってるけど、スレタイがサウンドカードになってるので伸びてない
千葉の「サウンドカード」クレジット番号含む顧客情報10万人分流出か・・・中国経由で不正アクセス
http://namidame.2ch.net/test/read.cgi/news/1207587919/
541 :名無しさん@八周年:2008/04/08(火) 11:44:14 ID:R8xcc0id0
【国際】中国はスパイウェアの最大の被害国。中国への攻撃が多い国は米国40%、日本11%、台湾10%など[4/3]
http://mamono.2ch.net/test/read.cgi/newsplus/1207217903/
http://mamono.2ch.net/test/read.cgi/newsplus/1207217903/
543 :名無しさん@八周年:2008/04/08(火) 11:58:13 ID:Cc6L9zkxO
漏れ今カード会社に連絡して確認してもらったけど
漏れの名前はリストに無かったって。一安心だわ(-。-)y-~
漏れの名前はリストに無かったって。一安心だわ(-。-)y-~
544 :名無しさん@八周年:2008/04/08(火) 12:09:03 ID:EhwYfQyl0
クレカのデータ流出は無かったんじゃないの?
そんなメールが来てましたが
そんなメールが来てましたが
546 :名無しさん@八周年:2008/04/08(火) 12:15:32 ID:R8xcc0id0
547 :名無しさん@八周年:2008/04/08(火) 12:23:14 ID:sQHhjB/R0
金だけでなく個人情報がもし中共政府に握られてしまったとしたら
日本の音楽関係者はもうビョークみたいな事は絶対にできなくなるな
脅しどころかヒットマンさえ派遣可能だもん、こんなの
日本の音楽関係者はもうビョークみたいな事は絶対にできなくなるな
脅しどころかヒットマンさえ派遣可能だもん、こんなの
>>545
人による。
人による。
俺が作ったシステムSQLインジェクション未対策w
完全イントラシステム&社内で抜けれても問題ないデータだからいいかって感じ。
外向けはコワイねw
完全イントラシステム&社内で抜けれても問題ないデータだからいいかって感じ。
外向けはコワイねw
>>522
音屋でバイブを売ってるとは知らなかった
音屋でバイブを売ってるとは知らなかった
552 :名無しさん@八周年:2008/04/08(火) 13:19:29 ID:olOxxGF90
リアルにガンホーで10万も不正使用されてしまいましたが、それが何か?
553 :名無しさん@八周年:2008/04/08(火) 13:23:31 ID:20i5fLuD0
SQLってこれだろ?
select * from 日本 where 新聞社=売国新聞;
1件
朝日新聞
select * from 日本 where 新聞社=売国新聞;
1件
朝日新聞
554 :名無しさん@八周年:2008/04/08(火) 13:26:57 ID:nO6br+dZ0
銀行系カードだったので今日銀行の窓口に再発行しに行ったら
俺の情報言う前に
「サウンドハウス側から再発行しなくて平気という連絡が来ていますが」
みたいな事言われました。
どういうこと?ww
カード会社に再発行の手間の迷惑掛けるぐらいなら
情報漏らした客相手に
「金を使われた場合は保証するので、それ以外の情報漏れまくりですが、何も被害はありません、ご安心下さい^^」
って言っといた方がいいや って判断なんですか?ww
音屋は被害者意識強すぎて、加害者って自覚ねーんじゃねえのか・・・
俺の情報言う前に
「サウンドハウス側から再発行しなくて平気という連絡が来ていますが」
みたいな事言われました。
どういうこと?ww
カード会社に再発行の手間の迷惑掛けるぐらいなら
情報漏らした客相手に
「金を使われた場合は保証するので、それ以外の情報漏れまくりですが、何も被害はありません、ご安心下さい^^」
って言っといた方がいいや って判断なんですか?ww
音屋は被害者意識強すぎて、加害者って自覚ねーんじゃねえのか・・・
カードナンバーなんかは暗号化されて保存されてると思ってた。
556 :名無しさん@八周年:2008/04/08(火) 13:32:01 ID:l/XzJOIR0
SQLインジェクション攻撃って使い古された攻撃なのに、未だにひっかかるんか。
マカフィー糞だな。
マカフィー糞だな。
未経験者歓迎でとにかく動くコードが出てくればOKで
作ってるんだから仕方ないわな。
作ってるんだから仕方ないわな。
'ichijiku=ichijiku'
∩
| |
ハ
/ ヽ
/(´・ω・`)
|(ノ 浣 |つ
| 腸 |
゙:、..,_,,.ノ
U U
559 :名無しさん@八周年:2008/04/08(火) 15:09:42 ID:KbfXKs5K0
561 :名無しさん@八周年:2008/04/08(火) 15:39:59 ID:vrzmC1Dj0
562 :名無しさん@八周年:2008/04/08(火) 15:40:58 ID:NRTSMq/p0
中国からのアクセスを遮断しろよ
チェック甘いよな。フォームデータの処理もテストもさ。
下請け開発やらせたとしてもテストは立ち会ってやれよな。
下請け開発やらせたとしてもテストは立ち会ってやれよな。
>>561
まあさすがにそのレベルまでいくと未知の世界だけど・・・
アーティスト・特にピンの歌手なんかは
一切楽器や機材なんて買わない、なんて人もいるだろうし
でも、曲を作る人、楽器を演奏する人なら
何かしらお世話になってることは多いと思うよ
安いだけじゃなく、「このパーツが2日以内に必要!」ってなった時
ここしか選択肢が無いことがあるからね
まあさすがにそのレベルまでいくと未知の世界だけど・・・
アーティスト・特にピンの歌手なんかは
一切楽器や機材なんて買わない、なんて人もいるだろうし
でも、曲を作る人、楽器を演奏する人なら
何かしらお世話になってることは多いと思うよ
安いだけじゃなく、「このパーツが2日以内に必要!」ってなった時
ここしか選択肢が無いことがあるからね
565 :南米院 ◆qZn4PpFR5Y :2008/04/08(火) 15:56:00 ID:8SHgfbj90
おい〜。ギターの部品とか買ったよサウンドハウスで。qqqq
サウンドハウスのサイトの左のほうにいっぱい認証マーク付いてるけどなんか空しいね
最近流出騒ぎ起こしてる事件は皆WindowsのSQLサーバー使っているのに、ニュース記事の中でWindowsとかSQLサーバーとかに一切触れられてないのは箝口令でも出てるの?
一昔ならわかるが、未だに外部からSQLサーバーに接続できるとか、アプリのバグでSQL実行できちゃうとか、不正アクセスというよりそれ以前の問題。偽造カードが出回るのは暫くした後らしいけど、出回った
全カードの使用停止&再発行したんだろうか?
一昔ならわかるが、未だに外部からSQLサーバーに接続できるとか、アプリのバグでSQL実行できちゃうとか、不正アクセスというよりそれ以前の問題。偽造カードが出回るのは暫くした後らしいけど、出回った
全カードの使用停止&再発行したんだろうか?
568 :名無しさん@八周年:2008/04/08(火) 16:03:09 ID:nO6br+dZ0
>>564
安心しろお前ら。
日経新聞に出てたが
ここの社長が、情報流出による客の負担が出ないようにしてくれるらしい。
直接使用による金銭被害以外はなんら客の負担にならないと考えているのか
それとも、情報流出に対してもなんらかの対策してくれるのかはわからんが。
まぁ、メールで「使われたら補償するから“安心してください”」とか言うぐらいだから
クレカ以外の情報については、厳重に管理するべき個人情報だっていう意識は無いのかもな・・・
まぁ、サウンドハウスからすればクレカ情報も一緒に流出してよかったね
クレカ情報が流出してなかったら
「危うくクレカ情報が流出しそうでしたが、名前やメアドやパスワードだけしか流出してませんので安心してください」
なんて発表して、叩かれそうだしな。
安心しろお前ら。
日経新聞に出てたが
ここの社長が、情報流出による客の負担が出ないようにしてくれるらしい。
直接使用による金銭被害以外はなんら客の負担にならないと考えているのか
それとも、情報流出に対してもなんらかの対策してくれるのかはわからんが。
まぁ、メールで「使われたら補償するから“安心してください”」とか言うぐらいだから
クレカ以外の情報については、厳重に管理するべき個人情報だっていう意識は無いのかもな・・・
まぁ、サウンドハウスからすればクレカ情報も一緒に流出してよかったね
クレカ情報が流出してなかったら
「危うくクレカ情報が流出しそうでしたが、名前やメアドやパスワードだけしか流出してませんので安心してください」
なんて発表して、叩かれそうだしな。
中国からのアタックって結構あるんだよな
恐ろしい
恐ろしい
.NETとSQL Serverつかえば@パラメータプログラミングで自動的に予約語をリプレイスしてくれるんだが
UNIXだのリナックスだのJAVAとかそっちを使ってることにプライドを持っちゃってるプログラマーは
.NETの恩恵を受けられてないからね。
UNIXだのリナックスだのJAVAとかそっちを使ってることにプライドを持っちゃってるプログラマーは
.NETの恩恵を受けられてないからね。
>>570
知ったか乙
知ったか乙
572 :名無しさん@八周年:2008/04/08(火) 16:21:13 ID:gGkVIXhC0
実際ASPの開発環境に慣れたらJSPやらPHPなんてバカらしくてやってられないからな
エディタで書いてIEで確認とか10年前ですか?って
エディタで書いてIEで確認とか10年前ですか?って
I 一日
I 一回
S 再起動
I 一回
S 再起動
中国から日本国内へのアクセスを一切禁止すればいいのに
なんか流出事件の状況を伝えるメールが途絶えてるんだが。
しっかりしろよ音屋。(まあ、今回ので潰れてもしょうがないぐらい駄目駄目そうなのはよ〜くわかったが・・・)
しっかりしろよ音屋。(まあ、今回ので潰れてもしょうがないぐらい駄目駄目そうなのはよ〜くわかったが・・・)
>>567
こういう知ったか書いてる奴がいる限りこの手の事件はなくならないだろうな。
こういう知ったか書いてる奴がいる限りこの手の事件はなくならないだろうな。
579 :名無しさん@八周年:2008/04/08(火) 16:44:40 ID:nO6br+dZ0
基本的な対策で防げるのに
1通も来てないし。毎月買っているのに。ナンダカナ。
582 :名無しさん@八周年:2008/04/08(火) 16:52:51 ID:nO6br+dZ0
>>581
人によって送ったり送らなかったりする差はなんなんだw
人によって送ったり送らなかったりする差はなんなんだw
>>551
よく読んだら俺はクレカの登録してなかったみたいだ
よく読んだら俺はクレカの登録してなかったみたいだ
584 :名無しさん@八周年:2008/04/08(火) 16:58:22 ID:WhzACGYa0
>>575
プリペアドステートメントとサニタイジングだけじゃだめなの?
プリペアドステートメントとサニタイジングだけじゃだめなの?
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
今回のサウンドハウスの事件はクレカ情報を含むから
何千円とかはした金ですむ自体ではないぞ。
その辺音屋は重大さを理解して被害受けた顧客に対応しろ、
と言っても個人情報を自社のいい加減なセキュリティで
扱うようなとこだから、わからんか・・・。
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
今回のサウンドハウスの事件はクレカ情報を含むから
何千円とかはした金ですむ自体ではないぞ。
その辺音屋は重大さを理解して被害受けた顧客に対応しろ、
と言っても個人情報を自社のいい加減なセキュリティで
扱うようなとこだから、わからんか・・・。
586 :名無しさん@八周年:2008/04/08(火) 17:11:14 ID:fQTPPB3s0
またしてもWindows鯖なわけだが・・・。
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp/
しかし、SQLインジェクションを狙い打ってるというが、
Web+DBなんてApache+MySQLの方が割合が大きいだろうに。
IIS+MS SQLだけクラックされるって何か別の要因があんじゃね?
587 :名無しさん@八周年:2008/04/08(火) 17:11:56 ID:Y4HLyrhG0
支那畜は市ねよ
あとデータの管理に関しては銀行やなんかは厳しいけど
一部の企業はいい加減なところはいっぱいあるから
そういったとこからはネット経由じゃなくても
ソーシャルハッキングで盗まれ照ることも多いから
一部の企業はいい加減なところはいっぱいあるから
そういったとこからはネット経由じゃなくても
ソーシャルハッキングで盗まれ照ることも多いから
>>584
「プリペアドステートメントとサニタイジングだけ」
と口で言うだけなら44バイトで済んじゃうけどな。
実装していくうちにプリペアドステートメントが使いにくいシーンがでてきたり、
DBによって(あるいはバージョンの違いによってさえ)実装が違うために特別な
対策が必要だったり(仕事の上ではいつも自分が最善と思うものばかりは使え
ない・・・客の指定したDBサーバやバージョンや言語を使わなければならなかっ
たりすることも多いわけで)。サニタイジングにしたってダブルバイト系では文字
コードの問題があったり・・・
だから口で言うほど簡単ではないと言ったのだが。
もちろん上記すべてを厳密に精査すれば100%安全なサイトを作ることは可能。
だが100%バグのないプログラムを納期を守りながら作ることがどんなに難しい
ことかもおそらく皆さんご存知であろう。
まあだからといってサウンドハウスに同情の余地はまったく無いがな。
「プリペアドステートメントとサニタイジングだけ」
と口で言うだけなら44バイトで済んじゃうけどな。
実装していくうちにプリペアドステートメントが使いにくいシーンがでてきたり、
DBによって(あるいはバージョンの違いによってさえ)実装が違うために特別な
対策が必要だったり(仕事の上ではいつも自分が最善と思うものばかりは使え
ない・・・客の指定したDBサーバやバージョンや言語を使わなければならなかっ
たりすることも多いわけで)。サニタイジングにしたってダブルバイト系では文字
コードの問題があったり・・・
だから口で言うほど簡単ではないと言ったのだが。
もちろん上記すべてを厳密に精査すれば100%安全なサイトを作ることは可能。
だが100%バグのないプログラムを納期を守りながら作ることがどんなに難しい
ことかもおそらく皆さんご存知であろう。
まあだからといってサウンドハウスに同情の余地はまったく無いがな。
590 :名無しさん@八周年:2008/04/08(火) 17:23:07 ID:gGkVIXhC0
そもそもサーバの管理運用に派遣とか使ってる会社も結構あるし
個人情報なんて盗み放題なんだよな実際
個人情報なんて盗み放題なんだよな実際
592 :名無しさん@八周年:2008/04/08(火) 17:26:57 ID:4hc7gUuL0
593 :名無しさん@八周年:2008/04/08(火) 17:28:43 ID:mg73r69z0
ソフトを外注する時点でソーシャルクロスサイトスクリプティングが発生してるんだよ。
594 :名無しさん@八周年:2008/04/08(火) 17:29:56 ID:nO6br+dZ0
おまえら
対策難しい難しい言ってるけど
パスワード忘れたボタン押せば
登録したパスをメアド宛で教えてくれる程度のセキュリティーなんだぜ
対策難しい難しい言ってるけど
パスワード忘れたボタン押せば
登録したパスをメアド宛で教えてくれる程度のセキュリティーなんだぜ
596 :名無しさん@八周年:2008/04/08(火) 17:36:33 ID:s4ibp/lT0
Win鯖にしろ ASPにしろ、敷居が低いというメリットがまんまデメリットに
なっちゃってる感じだな。
なっちゃってる感じだな。
孫受けの孫受けの孫受けで知らん間に中華に発注してたりするシナ
頭イタス
頭イタス
598 :名無しさん@八周年:2008/04/08(火) 17:37:19 ID:nO6br+dZ0
> まあだからといってサウンドハウスに同情の余地はまったく無いがな。
なんかこの文章何度も見るな
なんかこの文章何度も見るな
Win+SQLサーバが一番問題なのは中華ではユーザが圧倒的に多い点ww
もちろん99%が不正使用(海賊版)
中華国内ではクラックが日常茶飯事、これは民族性の問題
みんなゲームの経験値を上げる気分で暇つぶしに気軽にやってる
暇はあるけど、金がないやつら
日本でも、昔、ゲームのプロテクト外しが流行ったことあったろ
あれを暇を10倍、手持ちの金がないのを1/10にした悪質度100倍
ゲームだから攻略ツールも多数あるwww
もちろん99%が不正使用(海賊版)
中華国内ではクラックが日常茶飯事、これは民族性の問題
みんなゲームの経験値を上げる気分で暇つぶしに気軽にやってる
暇はあるけど、金がないやつら
日本でも、昔、ゲームのプロテクト外しが流行ったことあったろ
あれを暇を10倍、手持ちの金がないのを1/10にした悪質度100倍
ゲームだから攻略ツールも多数あるwww
601 :名無しさん@八周年:2008/04/08(火) 17:51:04 ID:o1Q6Zyxa0
「これはわが国を貶めようとするチベット分離主義者らの犯行だ」
とか言ってくれそうだな。
とか言ってくれそうだな。
602 :名無しさん@八周年:2008/04/08(火) 17:56:13 ID:nO6br+dZ0
>>594
正直その手の企業が多くて困る
クレカ承認は別になってることが多くカードの危険は少ないが、
個人情報は漏れ放題。場合寄ってはシロートにも閲覧改竄される。
とある企業が俺を含めユーザーから酷く怒られたことがあったな。
それが今では株式公開してるけどw
やっぱネット決済はクレカ会社のページで承認しないと怖いね。
正直その手の企業が多くて困る
クレカ承認は別になってることが多くカードの危険は少ないが、
個人情報は漏れ放題。場合寄ってはシロートにも閲覧改竄される。
とある企業が俺を含めユーザーから酷く怒られたことがあったな。
それが今では株式公開してるけどw
やっぱネット決済はクレカ会社のページで承認しないと怖いね。
604 :名無しさん@八周年:2008/04/08(火) 18:07:29 ID:Cielo6Ei0
中国からのポートスキャンなんて個人のPCでも1日のうちにしょっちゅうあるよ。
ノイズだという話もあるがそれにしては中国からばっかり。
ノイズだという話もあるがそれにしては中国からばっかり。
605 :名無しさん@八周年:2008/04/08(火) 18:10:29 ID:nO6br+dZ0
606 :名無しさん@八周年:2008/04/08(火) 18:12:12 ID:fRBLg1bN0
sql injectionって単にDBの名前とパスワードばれただけでしょ?
インジェクション♪ インジェクション♪ パス割り クレカ盗める♪
「carview.co.jp」がSQLインジェクションで改ざんされた上、アクセスしたユーザーにウイルスをダウンロードさせる状態になっていたことが分かった。
http://www.itmedia.co.jp/news/articles/0804/08/news046.html
http://www.itmedia.co.jp/news/articles/0804/08/news046.html
609 :名無しさん@八周年:2008/04/08(火) 18:16:59 ID:nO6br+dZ0
ところで
SQLインジェクションが防ぐのが難しい ッてのはわかったけど
SQLインジェクションでハッキングされる可能性を前提に
顧客情報が漏れないように対策することって難しいことなの?
SQLインジェクションが防ぐのが難しい ッてのはわかったけど
SQLインジェクションでハッキングされる可能性を前提に
顧客情報が漏れないように対策することって難しいことなの?
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
今回も集団損害賠償訴訟でしょ
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
今回も集団損害賠償訴訟でしょ
612 :名無しさん@八周年:2008/04/08(火) 18:25:27 ID:4hc7gUuL0
613 :名無しさん@八周年:2008/04/08(火) 18:32:51 ID:nO6br+dZ0
>>610
多分、普通に賠償するより、たとえ信頼と顧客を失っても
文章謝罪だけで終わらせた方がマシって考えるだろうから
(多分、まともに賠償したら倒産するw)
訴訟起こさなきゃ賠償は期待できないだろうね。
多分、普通に賠償するより、たとえ信頼と顧客を失っても
文章謝罪だけで終わらせた方がマシって考えるだろうから
(多分、まともに賠償したら倒産するw)
訴訟起こさなきゃ賠償は期待できないだろうね。
614 :名無しさん@八周年:2008/04/08(火) 18:33:15 ID:c2p1QPXFO
615 :名無しさん@八周年:2008/04/08(火) 18:36:25 ID:eAhrneAJ0
あれカラオケボックスじゃなくて楽器屋さんだったのか
616 :名無しさん@八周年:2008/04/08(火) 18:36:48 ID:PpnTxXCf0
これって本当にSQLインジェクションだけの問題なのか?
IISだけがかたっぱしからやられてるじゃん。
ApacheとMySQLの組み合わせでシステム組んだって
SQLインジェクションは起こりうるのに、Win鯖だけがやられ
てるっておかしいだろ。
617 :名無しさん@八周年:2008/04/08(火) 18:42:41 ID:N9fx0wgq0
>>613
せめて書面で謝罪文を送ってきたらまだおさまるんだけど、ないだろうね。
いつも情報流出のニュース聞いて納得いかないのは、客に対してゴメンで済ませて、客側ばっかり
流出したあとも気をつけてなきゃいけないこと。
カード会社電話するときに「加盟店契約、解除しないんですか?」って苦情いれたら、効果ある?
そうでもならないと、この会社反省しなさそう。
せめて書面で謝罪文を送ってきたらまだおさまるんだけど、ないだろうね。
いつも情報流出のニュース聞いて納得いかないのは、客に対してゴメンで済ませて、客側ばっかり
流出したあとも気をつけてなきゃいけないこと。
カード会社電話するときに「加盟店契約、解除しないんですか?」って苦情いれたら、効果ある?
そうでもならないと、この会社反省しなさそう。
618 :名無しさん@八周年:2008/04/08(火) 18:48:10 ID:f8xF2m7t0
「カード会社様に迷惑がかかるので、苦情問い合わせは慎んでください」とか言いそうだなw
サウンドハウスw
サウンドハウスw
反省はないだろうね 鹿せんべいだしw
クレジット会社としては保険処理だし儲かるから解約はないだろう
クレジット会社としては保険処理だし儲かるから解約はないだろう
620 :名無しさん@八周年:2008/04/08(火) 18:49:19 ID:jSjK7+0f0
>>608
そのサイトが一番むかつく点、それはIISやASPやSQLサーバという点ではない!
googleで適当に車種名を検索して、(操作して)上位に現れる
[[車種名]] がもっと見たい | ガリバーの車カタログ情報
をクリック
(IEなりの履歴を確認してみると…びびるやん)
http://221616.com/ ってのをカタログサイトに使用するなよwww
なにが「ブーブーイロイロ」じゃ、殺す
そのサイトが一番むかつく点、それはIISやASPやSQLサーバという点ではない!
googleで適当に車種名を検索して、(操作して)上位に現れる
[[車種名]] がもっと見たい | ガリバーの車カタログ情報
をクリック
(IEなりの履歴を確認してみると…びびるやん)
http://221616.com/ ってのをカタログサイトに使用するなよwww
なにが「ブーブーイロイロ」じゃ、殺す
622 :名無しさん@八周年:2008/04/08(火) 18:51:50 ID:qpY/UUyO0
ところで、ここはまだ通販やってるわけ?
ジャパネットたかたみたいな好例があるけど、
とても通販やるレベルじゃねえだろ。
ジャパネットたかたみたいな好例があるけど、
とても通販やるレベルじゃねえだろ。
623 :名無しさん@八周年:2008/04/08(火) 18:52:42 ID:nO6br+dZ0
コスト削減とか言って猫も杓子もアホみたいに中華に外注してた時があったからなぁ
エンドユーザが知らん間に中華が手がけてたシステムだったりしてなぁ
自分らが仕掛けとったら脆弱性とか丸分かりやん。
あんな民度の低い国にシステム丸投げして中間業者は大したテストもせず。
・・・数年後、らくらく侵入。とり放題。とか。
エンドユーザが知らん間に中華が手がけてたシステムだったりしてなぁ
自分らが仕掛けとったら脆弱性とか丸分かりやん。
あんな民度の低い国にシステム丸投げして中間業者は大したテストもせず。
・・・数年後、らくらく侵入。とり放題。とか。
625 :名無しさん@八周年:2008/04/08(火) 19:02:34 ID:a/2CihQj0
もうめんどくさいから、個人情報扱うサイトでのWin鯖禁止にしちゃえよ。
あと、IEでもアクセスもな。
価格コムのクラック以来、被害は増える一方だろ。
HACKER SAFEについて 2008/04/08 18:26:16 サウンドハウス ***
お問い合わせ、ありがとうございます。サウンドハウスでは、2005年1月5日に三和コムテックよりHacker Safeを導入し、
その後、2006年7月19日、3Dセキュアを開始しております。
http://www.hackersafe.jp/
>最高水準のセキュリティを満たすサイトだけに授けられる安心の称号。それがHACKER SAFEサイトです。
お問い合わせ、ありがとうございます。サウンドハウスでは、2005年1月5日に三和コムテックよりHacker Safeを導入し、
その後、2006年7月19日、3Dセキュアを開始しております。
http://www.hackersafe.jp/
>最高水準のセキュリティを満たすサイトだけに授けられる安心の称号。それがHACKER SAFEサイトです。
627 :名無しさん@八周年:2008/04/08(火) 19:12:34 ID:wr6e1lcI0
628 :名無しさん@八周年:2008/04/08(火) 19:17:06 ID:wr6e1lcI0
>>616
ASPって小中規模CSシステムで使われることが多いから
フォームの入力チェックって厳格にやらないんだよ。
自社の業務システムに悪意ある入力して落とす奴なんてまれだから。
仮に意地悪な入力する人がいたら、やらないでねで済んじゃう。
ただ、その感覚でネットサービスを構築したら穴だらけになる。
ネット上は悪意ある入力だらけだから。
ASPって小中規模CSシステムで使われることが多いから
フォームの入力チェックって厳格にやらないんだよ。
自社の業務システムに悪意ある入力して落とす奴なんてまれだから。
仮に意地悪な入力する人がいたら、やらないでねで済んじゃう。
ただ、その感覚でネットサービスを構築したら穴だらけになる。
ネット上は悪意ある入力だらけだから。
630 :名無しさん@八周年:2008/04/08(火) 19:48:31 ID:+7qyX12T0
>>630
んー、他に理由は考えつかない。
んー、他に理由は考えつかない。
632 :名無しさん@八周年:2008/04/08(火) 19:54:28 ID:91hoeFX70
633 :名無しさん@八周年:2008/04/08(火) 20:04:28 ID:OB0riNAY0
>>631
理由がわからないのって一番怖いよな。
理由がわからないのって一番怖いよな。
俺数年前にある会社のカード決済のシステムの機能追加に関わってたが、元のソースありえないくらい汚くてバグいっぱいでやばすぎたぞw
俺は機能追加で仕事受けただけだからやばいバグは見て見ぬふり。余計な仕事増やして苦労したくなかったからな。
俺は機能追加で仕事受けただけだからやばいバグは見て見ぬふり。余計な仕事増やして苦労したくなかったからな。
635 :名無しさん@八周年:2008/04/08(火) 20:08:27 ID:xc2nbYIo0
サウンドハウスはHP上とかメールとかでお知らせしているけど、会員に封書なりハガキで漏洩しましたすみませんのお知らせは送るつもりはないのかな。
636 :名無しさん@八周年:2008/04/08(火) 20:12:32 ID:ZckGa9im0
638 :名無しさん@八周年:2008/04/08(火) 20:14:58 ID:xEQrh4qs0
近くに専門店ないからここに登録してたのに
ヘッドホンのイヤーパッド買うのに重宝したなぁ
ヘッドホンのイヤーパッド買うのに重宝したなぁ
640 :名無しさん@八周年:2008/04/08(火) 20:18:21 ID:tzkUk/9B0
SQLインジェクションの餌食になるなんて馬鹿な会社。
さっさと店を閉めろ!クソ会社。
さっさと店を閉めろ!クソ会社。
641 :名無しさん@八周年:2008/04/08(火) 20:21:27 ID:KBrOE/6z0
>>637
>俺は単なるユーザーだったけど、管理者の人大変そうだった。
そしてWindowsならカンタンにできます、っていうMSの甘言に乗せられて
こういう悲劇を生むんだよね。
もちろん会社潰れてもMSは一切責任とってくれないがw
>俺は単なるユーザーだったけど、管理者の人大変そうだった。
そしてWindowsならカンタンにできます、っていうMSの甘言に乗せられて
こういう悲劇を生むんだよね。
もちろん会社潰れてもMSは一切責任とってくれないがw
642 :名無しさん@八周年:2008/04/08(火) 20:22:39 ID:jbR9v7IY0
なんで中国からのアクセス規制しないの?
中国が日本のサイトに用なんてないっしょ
中国が日本のサイトに用なんてないっしょ
>>638
ホントだよな管理も簡単、クラックも簡単ってだけじゃん窓鯖
ホントだよな管理も簡単、クラックも簡単ってだけじゃん窓鯖
645 :名無しさん@八周年:2008/04/08(火) 20:25:17 ID:hoOAJy5H0
>>645
客が使ってくれ言ってきたら使うしかないだろJK
客が使ってくれ言ってきたら使うしかないだろJK
>>616
一番脆弱な点は、拡張子の .asp だよ。
拡張子が.aspなら、決め打ちでASPで起こりやすい穴を徹底的に攻める
のが実は効率が良いという話も。
もちろん、中国でASP使用頻度が高い事もあるけどね。
>>498 みてみなよ。
注入 tool も全部、GUI 完備でボタン押すだけ。
一番脆弱な点は、拡張子の .asp だよ。
拡張子が.aspなら、決め打ちでASPで起こりやすい穴を徹底的に攻める
のが実は効率が良いという話も。
もちろん、中国でASP使用頻度が高い事もあるけどね。
>>498 みてみなよ。
注入 tool も全部、GUI 完備でボタン押すだけ。
648 :名無しさん@八周年:2008/04/08(火) 20:47:23 ID:AMdWc3cY0
649 :名無しさん@八周年:2008/04/08(火) 20:52:08 ID:nO6br+dZ0
650 :名無しさん@八周年:2008/04/08(火) 20:58:08 ID:ELEEdiqT0
651 :名無しさん@八周年:2008/04/08(火) 21:00:01 ID:ulORe8SR0
サウンドハウス印象悪
653 :名無しさん@八周年:2008/04/08(火) 21:02:58 ID:hU2lPX87O
or 1 = 1
654 :名無しさん@八周年:2008/04/08(火) 21:13:56 ID:ZV+3+t5p0
655 :名無しさん@八周年:2008/04/08(火) 21:20:24 ID:69ZlRdWjO
入力値チェックやって無かったの?
656 :名無しさん@八周年:2008/04/08(火) 21:22:31 ID:ELEEdiqT0
>>648
GUIで簡単に構築するにしても、デフォルトを厳しいほうに振っておけばいいんだけど、
そうすると使いにくいのでデフォルトは何でもありの方になってる。
それに、GUIって設定がコピーしにくいんだわ。
テキストファイルなら、適当にググって、いいやつを持ってきて簡単に同じ設定できるし、
それが何をしているのかも調べるのはそう難しくないんだけど、
GUI設定は説明するのも大変だし、そのとおり再現するのも大変。
GUIで簡単に構築するにしても、デフォルトを厳しいほうに振っておけばいいんだけど、
そうすると使いにくいのでデフォルトは何でもありの方になってる。
それに、GUIって設定がコピーしにくいんだわ。
テキストファイルなら、適当にググって、いいやつを持ってきて簡単に同じ設定できるし、
それが何をしているのかも調べるのはそう難しくないんだけど、
GUI設定は説明するのも大変だし、そのとおり再現するのも大変。
テキストファイルの設定の良いところは、
2番目に素敵な設定とかをコメントに書いてその場に置いておける事と、
あとはそのままリビジョン管理してdiffがとれたりする事だな。
2番目に素敵な設定とかをコメントに書いてその場に置いておける事と、
あとはそのままリビジョン管理してdiffがとれたりする事だな。
電話番号、住所は流出してないっていうけど
ログインID、パスワードが出てるなら、Webから直に閲覧可能じゃねぇのか?
やべぇ、鬱になってきた・・・。
ログインID、パスワードが出てるなら、Webから直に閲覧可能じゃねぇのか?
やべぇ、鬱になってきた・・・。
IISも設定によってはテキストファイルだったりするけどな
セッション勝手に何分だかで勝手に切りやがるから
苦労して探したわあれ・・・w
セッション勝手に何分だかで勝手に切りやがるから
苦労して探したわあれ・・・w
661 :名無しさん@八周年:2008/04/08(火) 21:42:50 ID:25cGgmOb0
>>660
そんな風にサーバをちゃんとチューニングしようとすると急に面倒くさくなるのがIIS
だから分かってる奴は使いたがらない。
そもそも、パッチ一つ当てるだけでハードごと再起動なんて運用性無視もはなはだしい。
しかもちゃんと立ち上がってくれる保証もない。
そんな風にサーバをちゃんとチューニングしようとすると急に面倒くさくなるのがIIS
だから分かってる奴は使いたがらない。
そもそも、パッチ一つ当てるだけでハードごと再起動なんて運用性無視もはなはだしい。
しかもちゃんと立ち上がってくれる保証もない。
662 :名無しさん@八周年:2008/04/08(火) 21:43:12 ID:nO6br+dZ0
664 :名無しさん@八周年:2008/04/08(火) 21:53:37 ID:TDPBOVcX0
665 :名無しさん@八周年:2008/04/08(火) 21:58:02 ID:7BJG/GJA0
>>663
>ある程度大規模になってくるとスケールメリットが出るんだよ
へえ、大規模にサーバ運用してるakamaiもgoogleもIIS使ってるなんて聞いた事ないなあw
>まともなシステムだとBIOS画面すら遠隔から操作できる
>コンソール入れるからな。
わざわざそんなもん用意しなきゃいけないんだw
>再起動も特に問題ない。
ハード障害の発生率は、ハードの再起動時が一番多いらしいぜw
>ある程度大規模になってくるとスケールメリットが出るんだよ
へえ、大規模にサーバ運用してるakamaiもgoogleもIIS使ってるなんて聞いた事ないなあw
>まともなシステムだとBIOS画面すら遠隔から操作できる
>コンソール入れるからな。
わざわざそんなもん用意しなきゃいけないんだw
>再起動も特に問題ない。
ハード障害の発生率は、ハードの再起動時が一番多いらしいぜw
666 :名無しさん@八周年:2008/04/08(火) 21:59:54 ID:hGa4Rqiz0
ここんとこ激しいみたいね、中国からの攻撃。
インフラの人ちょっと困ってた。
繁忙期は負荷を考えて一時的に
自動侵入検知を止める場合もあるらしいし(めちゃんこ重いので)、
時期によっては案外ヤバイかもと思った。
インフラの人ちょっと困ってた。
繁忙期は負荷を考えて一時的に
自動侵入検知を止める場合もあるらしいし(めちゃんこ重いので)、
時期によっては案外ヤバイかもと思った。
667 :名無しさん@八周年:2008/04/08(火) 22:01:18 ID:t1RT0vdU0
668 :名無しさん@八周年:2008/04/08(火) 22:01:33 ID:D2C708ru0
いまどきSQLインジェクションなんて、、、
どこの阿呆会社だ?
どこの阿呆会社だ?
>>663
DELLならDRAC、HPならiLOとかか?
ありゃ便利だな。
まともに使ってる客ほとんど見たことないけどw
>>665
再起動だけで電源落とさなきゃそんなにトラブらないよ。
俺?俺はSun最高w
DELLならDRAC、HPならiLOとかか?
ありゃ便利だな。
まともに使ってる客ほとんど見たことないけどw
>>665
再起動だけで電源落とさなきゃそんなにトラブらないよ。
俺?俺はSun最高w
この期に及んで最新の状況の釈明メールもよこさずに
一時休業もせずいつも通りネットショップの営業続けますか
一時休業もせずいつも通りネットショップの営業続けますか
>>669
Windows系は再起動(reboot)が得意な気がする......
Windows系は再起動(reboot)が得意な気がする......
入力値をチェックしたりエスケープしたりする対策は根本対策にならない。
バインドの仕組みを使うべき。
ipaの解説書にハッキング事例と対策方法が載ってるよ。
http://www.ipa.go.jp/security/vuln/websecurity.html
ただ、自分のまわりのシステムをみる限りでは、古くからあるシステムだと、バインドするやり方に置き換えるのは
変更範囲が大きくなったりするので、お客さんと相談して小手先の対策で逃げがち。
バインドの仕組みを使うべき。
ipaの解説書にハッキング事例と対策方法が載ってるよ。
http://www.ipa.go.jp/security/vuln/websecurity.html
ただ、自分のまわりのシステムをみる限りでは、古くからあるシステムだと、バインドするやり方に置き換えるのは
変更範囲が大きくなったりするので、お客さんと相談して小手先の対策で逃げがち。
675 :名無しさん@八周年:2008/04/08(火) 22:10:45 ID:PQeNA84L0
インターネットから中国を切り離すべき。
>>677
中華ユーザはある意味切り離されてるがなw
中華ユーザはある意味切り離されてるがなw
679 :名無しさん@八周年:2008/04/08(火) 22:25:14 ID:MylZYtPN0
今回、実行犯は国内の中華マフィアじゃまいか?
IPロンダリング用の串をマフィアが中国国内に置いてるだろ
IPロンダリング用の串をマフィアが中国国内に置いてるだろ
>>498
これ見ると、2007/01/01以前は大丈夫って当てになんないのかなぁ。
他は中国語でよくわかんないけど、↓ってキャッシュみたいの消してるってこと?
@del %SystemRoot%\system32\logfiles*.*
@del %SystemRoot%\system32\config*.evt
@del %SystemRoot%\system32\dtclog*.*
@del %SystemRoot%\system32\*.log
@del %SystemRoot%\system32\*.txt
@del %SystemRoot%\*.txt
@del %SystemRoot%\*.log
@del del.bat
これ見ると、2007/01/01以前は大丈夫って当てになんないのかなぁ。
他は中国語でよくわかんないけど、↓ってキャッシュみたいの消してるってこと?
@del %SystemRoot%\system32\logfiles*.*
@del %SystemRoot%\system32\config*.evt
@del %SystemRoot%\system32\dtclog*.*
@del %SystemRoot%\system32\*.log
@del %SystemRoot%\system32\*.txt
@del %SystemRoot%\*.txt
@del %SystemRoot%\*.log
@del del.bat
681 :名無しさん@八周年:2008/04/08(火) 22:29:57 ID:nO6br+dZ0
SQLインジェクションとはまたどうして。
今時そんなもん組み込みで危険回避してくれるじゃねぇか。
今時そんなもん組み込みで危険回避してくれるじゃねぇか。
683 :名無しさん@八周年:2008/04/08(火) 22:31:53 ID:7qxImDDL0
てか、Windowsなんかで商用鯖立ち上げてる時点でこの会社は有罪確定だろ。
あんなもんただの使い捨て端末用OSだっての。
685 :名無しさん@八周年:2008/04/08(火) 22:42:09 ID:prjuYTvf0
>>680
キャッシュというか、システムログを全部消してるんだよ
もちろん、足跡を消すためにねw
07/1/1 以前安全説はよくわからない、
カード会社の持ってる流出リスト以上に被害が出てる。
315 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/07(月) 10:24:35
先月オンラインゲームで限度額いっぱい不正使用されてカード止められた。
で、さっきカード会社に再度問い合わせてみたら
音家からのリストには俺の名前は入っていないとの事。
早朝の発表もあてにならんでしょこれw
と早速音家に電話。すぐ繋がってびっくりした。
折り返しの電話は遅いけどw
キャッシュというか、システムログを全部消してるんだよ
もちろん、足跡を消すためにねw
07/1/1 以前安全説はよくわからない、
カード会社の持ってる流出リスト以上に被害が出てる。
315 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/07(月) 10:24:35
先月オンラインゲームで限度額いっぱい不正使用されてカード止められた。
で、さっきカード会社に再度問い合わせてみたら
音家からのリストには俺の名前は入っていないとの事。
早朝の発表もあてにならんでしょこれw
と早速音家に電話。すぐ繋がってびっくりした。
折り返しの電話は遅いけどw
686 :名無しさん@八周年:2008/04/08(火) 22:48:06 ID:VhEz0aQs0
>>685
えーっ!、そうなんだ orz... 怖すぎる
えーっ!、そうなんだ orz... 怖すぎる
688 :名無しさん@八周年:2008/04/08(火) 22:52:32 ID:+uiiI/5k0
>>686
そういうことでしょ
そういうことでしょ
ゼロデイアタックならわかるが、SQLインジェクションとは (´,_ゝ`)プッ
690 :名無しさん@八周年:2008/04/08(火) 22:57:27 ID:QJM+DVQl0
>>686
当たり前じゃん >>498 よく見ろって
中国語だけど、なんとなくGUI見れば想像つくでしょ
SQLインジェクションで、管理者権限を奪って vb.exe をターゲットに転送してるんだよ。
知らずに vb.exe を起動すると当然トロイが・・・・ そういうこと
当たり前じゃん >>498 よく見ろって
中国語だけど、なんとなくGUI見れば想像つくでしょ
SQLインジェクションで、管理者権限を奪って vb.exe をターゲットに転送してるんだよ。
知らずに vb.exe を起動すると当然トロイが・・・・ そういうこと
691 :名無しさん@八周年:2008/04/08(火) 23:00:03 ID:wa8elY7h0
今頃SQLインジェクションかよ。大手も下請けに丸投げだから、技術的に細かいところは
わからないんだよな。
わからないんだよな。
692 :名無しさん@八周年:2008/04/08(火) 23:01:25 ID:+uiiI/5k0
で、どの程度賠償してもらえるんだろ
693 :名無しさん@八周年:2008/04/08(火) 23:02:34 ID:kRRqETdt0
SQLインジェクションはただのトリガーにすぎんな。
ここまで簡単に管理者権が乗っ取られる脆弱なシステム
が根本原因。
パラメタライズドを信用しきっていると簡単に起こるよ。
696 :名無しさん@八周年:2008/04/08(火) 23:27:04 ID:CoMtXGRh0
2008-02-18 つまり、そういうことだなw
ttp://www.zone-h.com.cn/index.php?key=soundhouse&mode=domain&Submit=+Search+
ttp://www.zone-h.com.cn/index.php?key=soundhouse&mode=domain&Submit=+Search+
697 :名無しさん@八周年:2008/04/08(火) 23:43:58 ID:3mrNpP6P0
北京、大連、上海に委託しないと攻撃続けるよーって脅しですかね。
「人事も経理もサウンドハウスも中国へ」
「人事も経理もサウンドハウスも中国へ」
今回のは、単純なSQLインジェクションでは無いのだが…
専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、今更とか書いてる人こそ、なんちゃってなのでは?
mysqlのエスケープ関数のコードを追ってみるといいよ
専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、今更とか書いてる人こそ、なんちゃってなのでは?
mysqlのエスケープ関数のコードを追ってみるといいよ
700 :名無しさん@八周年:2008/04/09(水) 00:19:21 ID:ucM0M/0E0
701 :名無しさん@八周年:2008/04/09(水) 00:29:22 ID:yDgy2NTp0
>>699
2006年からSQLインジェクションが効くので中国では有名なサイト>>400なんだぞw
>>434
ハッキングにステ-タスは「快照」だってよw
ハッカーの真犯人は「電脳迷」なorz
警視庁は、ちゃんと ICPOに国際指名手配かけたのか?
犯行声明まで出てるんだぞ、日本の警察は ny だけが心配?
2006年からSQLインジェクションが効くので中国では有名なサイト>>400なんだぞw
>>434
ハッキングにステ-タスは「快照」だってよw
ハッカーの真犯人は「電脳迷」なorz
警視庁は、ちゃんと ICPOに国際指名手配かけたのか?
犯行声明まで出てるんだぞ、日本の警察は ny だけが心配?
>>698
結局は自分たち、自分たちの国の首を一番しめるってことに気付いてない経済オンチ
日本人、全然金こまらない〜
面倒なだけ〜
一部の業界は逆にうるおうかもw 今回の経済波及効果はデカいwww
五輪・万博が終わった後の絶望的な不況が完璧に想像できる
韓国みたいにIMFに部分的に乗っ取られたように、それ以上に完全に乗っ取られるかもww
日本が、一部乗っ取られたように、浮かれたバブルの後始末は大変、
結局は自分たち、自分たちの国の首を一番しめるってことに気付いてない経済オンチ
日本人、全然金こまらない〜
面倒なだけ〜
一部の業界は逆にうるおうかもw 今回の経済波及効果はデカいwww
五輪・万博が終わった後の絶望的な不況が完璧に想像できる
韓国みたいにIMFに部分的に乗っ取られたように、それ以上に完全に乗っ取られるかもww
日本が、一部乗っ取られたように、浮かれたバブルの後始末は大変、
703 :名無しさん@八周年:2008/04/09(水) 00:47:40 ID:OJ2odTJF0
>>684
mgk!!
たしか去年結構見てたんだよなぁ
IEでwクッキー食いまくりでwwww
orz
カスペルスキーとかノートンのスキャン時々やってるけど
なんだかわからんが検索できない部分があるんだよ
(ロックされています 処理:スキップ って出る部分がある)
それを除けば感染なしにはなってるが・・・
mgk!!
たしか去年結構見てたんだよなぁ
IEでwクッキー食いまくりでwwww
orz
カスペルスキーとかノートンのスキャン時々やってるけど
なんだかわからんが検索できない部分があるんだよ
(ロックされています 処理:スキップ って出る部分がある)
それを除けば感染なしにはなってるが・・・
SQLの記述を使ってるからじゃねーの?
マッピングとかバインド変数使わんの?
エロイ人教えて
マッピングとかバインド変数使わんの?
エロイ人教えて
そうなると、韓国がそうだったように、大きく振り子が触れる
つまり共産主義への回帰な
そして、第二の文化大革命といえる、反経済大革命がおこると予想
IT技術者と株屋は真っ先に農村へ追いやられるな
つまり共産主義への回帰な
そして、第二の文化大革命といえる、反経済大革命がおこると予想
IT技術者と株屋は真っ先に農村へ追いやられるな
悪い
別件と勘違いしてた
吊ってくる
別件と勘違いしてた
吊ってくる
これマジ?
411 名前:名無しサンプリング@48kHz[] 投稿日:2008/04/09(水) 00:36:29 ID:CHDmiKVr
そうそう。
> Mirror saved on 2008-02-18 18:15:13
これ、おそらく 2/18日にサウンドハウスの鯖のフルバックアップ取られたって事だと思う
411 名前:名無しサンプリング@48kHz[] 投稿日:2008/04/09(水) 00:36:29 ID:CHDmiKVr
そうそう。
> Mirror saved on 2008-02-18 18:15:13
これ、おそらく 2/18日にサウンドハウスの鯖のフルバックアップ取られたって事だと思う
709 :名無しさん@八周年:2008/04/09(水) 01:06:25 ID:WqqoENM60
おまいらがSEはブラックって言うから
有能な人材がITに来ないんだよw
有能な人材がITに来ないんだよw
711 :名無しさん@八周年:2008/04/09(水) 01:21:07 ID:xTRhjveK0
スクリプト作っている人間と使っている人間は別だから、IIS+MS SQLが多くなるんだろ。
スクリプト作っているのが、apache+MySQL用のスクリプトを作っていないだけだろうな。
こんなレベルだぞ、いまの連中は。w
スクリプト作っているのが、apache+MySQL用のスクリプトを作っていないだけだろうな。
こんなレベルだぞ、いまの連中は。w
このSQLインジェクションによる不正アクセスとやらは
「'」「;」「-」あたりの入力を無効化しとけば大体防げるみたいだけど、
ここで導入されてたセキュリティはたかがこんなこともスルーしちゃうの?
「'」「;」「-」あたりの入力を無効化しとけば大体防げるみたいだけど、
ここで導入されてたセキュリティはたかがこんなこともスルーしちゃうの?
713 :名無しさん@八周年:2008/04/09(水) 01:31:57 ID:CEFyKbqQ0
>今回のは、単純なSQLインジェクションでは無いのだが…
>
>専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
>
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、
>今更とか書いてる人こそ、なんちゃってなのでは?
>
>mysqlのエスケープ関数のコードを追ってみるといいよ
714 :名無しさん@八周年:2008/04/09(水) 01:36:39 ID:cFqinnwH0
715 :名無しさん@八周年:2008/04/09(水) 01:38:30 ID:rShYUw1E0
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
717 :名無しさん@八周年:2008/04/09(水) 01:43:41 ID:lEQzVHPr0
どうせ制作費ケチったに決まってる。
718 :名無しさん@八周年:2008/04/09(水) 02:05:29 ID:rShYUw1E0
>>715
マイクロソフトは製品の信頼性上げないでそんなことばっかやってるよな。
マイクロソフトは製品の信頼性上げないでそんなことばっかやってるよな。
>>707
434 名前:名無しさん@八周年[sage] 投稿日:2008/04/07(月) 23:20:16 ID:7jMzikMv0
>>400
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
434 名前:名無しさん@八周年[sage] 投稿日:2008/04/07(月) 23:20:16 ID:7jMzikMv0
>>400
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
720 :名無しさん@八周年:2008/04/09(水) 02:28:59 ID:uLpCHMEJO
つうかそもそもSQLインジェクションってなんだよ
そこを説明してくれんとわけわからんだろ、この記事
そこを説明してくれんとわけわからんだろ、この記事
つ >>400
RE: 個人情報の流出について サウン
差出人: [email protected]
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
これでいいと思っているのかな?
差出人: [email protected]
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
これでいいと思っているのかな?
723 :名無しさん@八周年:2008/04/09(水) 02:43:01 ID:vJLOJM8O0
中国のNICに割り当てられてるIPのレンジ教えてほしいんだけど
マジでファイアウォールで弾くわ
マジでファイアウォールで弾くわ
724 :名無しさん@八周年:2008/04/09(水) 02:45:32 ID:zYaXgdF80
NIC?
726 :名無しさん@八周年:2008/04/09(水) 02:46:29 ID:o5pJtp1/0
>>727
半分以上の人がメール来てないよ。
半分以上の人がメール来てないよ。
>>722
> ・全てのウェブプログラムの見直しを行いセキュリティを強化。
どの位強固になったのか、2年前に攻略されたtoolをもう一回かけてみるとかってのはどうだww
ttp://dvd.3800hk.com/dispbbs.asp?BoardID=61&replyID=228554&id=151131&skin=1
最新の注入工具はもっと凄いんだろうなorz
> ・全てのウェブプログラムの見直しを行いセキュリティを強化。
どの位強固になったのか、2年前に攻略されたtoolをもう一回かけてみるとかってのはどうだww
ttp://dvd.3800hk.com/dispbbs.asp?BoardID=61&replyID=228554&id=151131&skin=1
最新の注入工具はもっと凄いんだろうなorz
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
今回のはカード情報まで流出されたのだから
↓の例より悪質で被害者は今後もリスク負わされている。
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
集団損害賠償訴訟でしょ普通に
今回のはカード情報まで流出されたのだから
↓の例より悪質で被害者は今後もリスク負わされている。
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
情報盗んだ奴はちゃんと逮捕されて
どこへどこまで流れたのか吐かせられるの?
どこへどこまで流れたのか吐かせられるの?
>>400みたいにハックできたところがずらっと並んでると思われるサイト見つけちまった・・・・・
怖いから見れなかった
誰か勇者おねがい
危ないから部分的に変えるわ
c*ina*ing.o*g/hits.txt
↑ ↑ ↑
h k r
怖いから見れなかった
誰か勇者おねがい
危ないから部分的に変えるわ
c*ina*ing.o*g/hits.txt
↑ ↑ ↑
h k r
735 :名無しさん@八周年:2008/04/09(水) 03:28:40 ID:c06sJURl0
>>724
長野市の公務員が過度にバカなだけ
長野市の公務員が過度にバカなだけ
736 :名無しさん@八周年:2008/04/09(水) 03:50:10 ID:5wWMZeoL0
マジで、全部抜かれたのかな?
762 名前:名無しさん@ご利用は計画的に[sage] 投稿日:2008/04/09(水) 03:23:21
> Mirror saved on 2008-02-18 18:15:13
> Reason:僅作安全検測
この「僅作安全検測」ってなんて訳すの?
ミラー作って安全に調べるって事かな
そりゃ、中身全部コピーしてlocalで解析するのは安全だわなw
762 名前:名無しさん@ご利用は計画的に[sage] 投稿日:2008/04/09(水) 03:23:21
> Mirror saved on 2008-02-18 18:15:13
> Reason:僅作安全検測
この「僅作安全検測」ってなんて訳すの?
ミラー作って安全に調べるって事かな
そりゃ、中身全部コピーしてlocalで解析するのは安全だわなw
737 :名無しさん@八周年:2008/04/09(水) 04:19:57 ID:e7esZ7oF0
今時SQLインジェクションって。。。
>同社データベースから全てのカード情報を削除
アホですか?
アホですか?
この手の記事で沸いてでてくるのが「今時〜かよ」ってコメントなんだけども
サイトの規模に応じて穴ふさぐのは結構大変だったりするので
知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
把握して驚くほどスピーディーに対処してくれるプログラマだったり、
事細かに技術指導しなくても一通りの知識もってて
自発的に対策してくれたりするものなんですかね?
私一応納品されてくるものチェックする立場の人間なんですが、
まともに対処済みコード納品してくる奴をあまり見たことが
ないので、ましてセキュリティ系Blogなどで講釈たれている人ってのは
ずいぶん人材に恵まれてるんだなあと思ったり。
サイトの規模に応じて穴ふさぐのは結構大変だったりするので
知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
把握して驚くほどスピーディーに対処してくれるプログラマだったり、
事細かに技術指導しなくても一通りの知識もってて
自発的に対策してくれたりするものなんですかね?
私一応納品されてくるものチェックする立場の人間なんですが、
まともに対処済みコード納品してくる奴をあまり見たことが
ないので、ましてセキュリティ系Blogなどで講釈たれている人ってのは
ずいぶん人材に恵まれてるんだなあと思ったり。
>>739
>知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
>把握して驚くほどスピーディーに対処してくれるプログラマだったり、
とうぜん、相応のカネは出してくれるんですよね?
もちろん喜んでやらせていただきますよ:)
>知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
>把握して驚くほどスピーディーに対処してくれるプログラマだったり、
とうぜん、相応のカネは出してくれるんですよね?
もちろん喜んでやらせていただきますよ:)
>もちろん喜んでやらせていただきますよ:)
そう言ってカネだけもらって、どこからかコピペしたような役に立たない
アドバイザリだけ納品して逃げた奴もたくさんいましたけど
あなたは違うということですね。(w
そう言ってカネだけもらって、どこからかコピペしたような役に立たない
アドバイザリだけ納品して逃げた奴もたくさんいましたけど
あなたは違うということですね。(w
742 :名無しさん@八周年:2008/04/09(水) 04:44:56 ID:yf/PG2780
>今回のは、単純なSQLインジェクションでは無いのだが…
>
>専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
>
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、
>今更とか書いてる人こそ、なんちゃってなのでは?
>
>mysqlのエスケープ関数のコードを追ってみるといいよ
743 :名無しさん@八周年:2008/04/09(水) 05:00:50 ID:9EB+bccp0
>>550
アマゾンじゃオナホ売ってるけどなw
アマゾンじゃオナホ売ってるけどなw
なんとなくバインドを知らない人が混じっているような気がする......
746 :名無しさん@八周年:2008/04/09(水) 07:06:51 ID:SDgomq440
carviewサイトもやられましたよーw
747 :名無しさん@八周年:2008/04/09(水) 07:13:12 ID:w0PUL1ld0
>トレンドマイクロのWebサイトが改ざんされた被害も、
さりげにやばい事書いてない?
トレンドマイクロって、ありえんだろwwww
信用がああああああああ
さりげにやばい事書いてない?
トレンドマイクロって、ありえんだろwwww
信用がああああああああ
748 :名無しさん@八周年:2008/04/09(水) 07:15:14 ID:+TVKWdx50
>>739
中国のIPアドレスはじくだけで結構効果あるんじゃね?
中国のIPアドレスはじくだけで結構効果あるんじゃね?
750 :名無しさん@八周年:2008/04/09(水) 07:23:09 ID:grAIkXqfO
あ〜 俺、ここでPEAVYのヘッド買ったわ。
751 :名無しさん@八周年:2008/04/09(水) 07:25:29 ID:xg4zeFR70
ブレスオブファイアXのSOLはいいシステムだったわ
マルチバイトっていっても文字コード問題に悩まされてきた
perlなら大昔から当然のようにチェックするけどな
というか、どんな言語の文字コードが入ってこようが
汚染命令となる文字の表現バイト列は決まっているんだし。
PHPとかASPとか低能IT土方こそ一番触れさせてはいけない言語だな。
perlなら大昔から当然のようにチェックするけどな
というか、どんな言語の文字コードが入ってこようが
汚染命令となる文字の表現バイト列は決まっているんだし。
PHPとかASPとか低能IT土方こそ一番触れさせてはいけない言語だな。
753 :名無しさん@八周年:2008/04/09(水) 07:35:02 ID:GIzz5/Vq0
>>746
サウンドハウス:
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp
carview:
http://uptime.netcraft.com/up/graph?site=carview.co.jp
トレンドマイクロ:
http://uptime.netcraft.com/up/graph?site=http://www.trendmicro.co.jp
共通項はWindows鯖つかってること。
サウンドハウス:
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp
carview:
http://uptime.netcraft.com/up/graph?site=carview.co.jp
トレンドマイクロ:
http://uptime.netcraft.com/up/graph?site=http://www.trendmicro.co.jp
共通項はWindows鯖つかってること。
754 :名無しさん@八周年:2008/04/09(水) 07:41:46 ID:w0PUL1ld0
プログラムの報酬って難しいよな。
どうせ派遣で適当にプログラマ募集して薄給で作らせるんだろうけど。
どうせ派遣で適当にプログラマ募集して薄給で作らせるんだろうけど。
756 :名無しさん@八周年:2008/04/09(水) 08:11:23 ID:6nJ2xbwY0
艇脳底脳ってほんとむかつく。だいたいSQLなんて使う方がどうかしてるぜ。w
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しい
俺web系じゃないんだけど、
俺だったらSJISはまずとりあえずUTFに変換するわけだが
web系ってアホなの?
俺web系じゃないんだけど、
俺だったらSJISはまずとりあえずUTFに変換するわけだが
web系ってアホなの?
>>699あてね。
759 :名無しさん@八周年:2008/04/09(水) 08:29:47 ID:cUPR+dWJ0
ソフトそのものが中国製という可能性はないのか
バックドアを仕掛けておきそこから侵入したとか
バックドアを仕掛けておきそこから侵入したとか
オンライン決済の現場なんてこんなもんだぞ
カード番号や有効期限もそのままDB蓄積
必要ないデータも何かの為に取っておくとか意味不明な理由つけて全部保存
そのくせセキュリティについてはまったく一言も触れず、実質PG任せ。対策してて当たり前、のような空気だな。
でも俺からすればセキュリティ設計が仕様書に盛り込まれていないほうが悪いと思う。
書いてあっても『セキュリティに配慮した設計とする』とかの一言だけw
これが某大手の現場だよ
カード番号や有効期限もそのままDB蓄積
必要ないデータも何かの為に取っておくとか意味不明な理由つけて全部保存
そのくせセキュリティについてはまったく一言も触れず、実質PG任せ。対策してて当たり前、のような空気だな。
でも俺からすればセキュリティ設計が仕様書に盛り込まれていないほうが悪いと思う。
書いてあっても『セキュリティに配慮した設計とする』とかの一言だけw
これが某大手の現場だよ
761 :名無しさん@八周年:2008/04/09(水) 09:34:52 ID:G7KI2ysI0
>>724
いっぱんじょうじ?
いっぱんじょうじ?
RE: 個人情報の流出について サウン
差出人: info@soundhouse.co.jp
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
皆にこのコピペメール送ってるようだけど
これでいいの?
差出人: info@soundhouse.co.jp
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
皆にこのコピペメール送ってるようだけど
これでいいの?
>全てのウェブプログラムの見直しを行いセキュリティを強化
いくら設備や管理に金かけてもSQL文のエスケープミスでドカーンなんだし
優秀なプログラマを雇う
これ以外に対策無いと思うけど
いくら設備や管理に金かけてもSQL文のエスケープミスでドカーンなんだし
優秀なプログラマを雇う
これ以外に対策無いと思うけど