【ネット】メッセサンオーのスクリプトを開発した会社が「採用サイト」を隠し始める！

メッセサンオーの大規模個人情報漏洩事件でそのスクリプトを開発したとされている『WEBインベンター』がサイトに掲載されていた自社のスクリプト採用実績を
削除しはじめたようだ。採用サイトは順不同で並んでいたようだが、現在は真っ白の状態。ほかの取引先への配慮だろう。しかしこの採用サイト集をGoogleが
例の如くキャッシュしており現在も閲覧することが出来てしまう。花屋から健康食品店、ホビーショップ、紳士服など様々なジャンルのサイトが並んでいる。

また同社は『管理プログラムがGoogleにインデックスされないようにする』という記事を4月2日に公開しておりそちらが大変話題になっている。
総はてなブックマーク数は現在で342ブックマークとホットエントリーの仲間入りだ。そこに書かれている内容は、

１．パスワードの管理に気をつける
パスワード付きのＵＲＬが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのＵＲＬを一時的にもホームページで
公開しないようにしてください。１日もしないうちにクローラが来て拾っていくからです。そして、時々パスワードを変更することはいつの場合でも役立ちます。

（中略）

この記事に対して『はてなブックマーク』では「節子! それセキュリティ対策やない」「エイプリルフールだなw あはははは」「ひどすぎ」「ここのシステムを
使っている通販会社は避けるべき」とコメントされている。しかし先ほども書いたとおり採用サイト一覧は削除したもののGoogleのキャッシュに残っており
現在も見ることができてしまう。もちろん全部のサイトが危ないとは限らない。またメッセサンオーのスクリプトは2004年の物でバージョンが古いと
『WEBインベンター』社は発言している。

http://getnews.jp/archives/54297
http://getnews.jp/img/archives/001205.jpg

採用サイト
http://wb-i.net/cool.html
キャッシュ
http://74.125.153.132/search?sourceid=navclient-ff&ie=UTF-8&q=cache%3Ahttp%3A%2F%2Fwb-i.net%2Fcool.html

2

潔くねーな。
あきらめて散れ。

おとなしく謝罪すればいいものを・・・

安かろう悪かろう

不○ラ○ックス…

糞サイトの典型みたいなデザインだな

個人情報関連はベーシック認証とかかけてアクセスできないようにしとくんじゃないの？

当社ショッピングカート採用のサイトの一部（順不同）
【BEinBLOOM】プラニング 健康食品店【BEinBLOOM】
株式会社マーム シェフプライド
サプリ健康ライフ サプリ健康ライフ
アンティークギャラリー和音 古民具・時代箪笥ならアンティークギャラリー和音
（株）ウルトラ・ヴァイヴ　通販係 ULTRA-NET.JP
アッタカンテ アッタカンテ
花hana-はなはな- 花hana-はなはな-
ホビーショップ・デジラ ホビーショップ・デジラ
紳士道 紳士用ブランドショップ紳士道
VIVACHE VIVACHE
AQUARIUM DREAM THEATER ＡＱＵＡＲＩＵＭ　ドリーム・シアター
有限会社 ホットファーム
ウェブショップヒットピーシー！
有限会社　三日月家具
インテリアデザイン・クレセント
スポーツギア・アダチ フットサル専門店、ロペロ
有限会社　三弘食品 SANKO オンラインショップ
株式会社トクダ ROBERT
有限会社 長谷川酒店 はせがわ酒店 インターネットショッピング
金眼鏡 カラコンランド
日本バドミントン専門店株式会社 日本バドミントン専門店株式会社
不二ラテックス株式会社 ニュー不二　プロショップTO
株式会社ティープランニングプロダクション 築地模型
有限会社　クロップシーズン　 クロップシーズン
（株）ウルトラ・ヴァイヴ　通販係 ULTRA-NET.JP
株式会社　古館（コダテ） お魚いちば
有限会社　インターフェイス

インターフェイス

>BOYS LOVE（女性向けゲームソフト）
ってなんだよｗ

ITってインフラ化してるから、雇用を見てもゼネコンみたいな孫受け曾孫受けが当たり前で。
893もどきのエージェント使って人足を集めて、働けよこのやろうみたいな形態になってるのが一因だなあ。

--
>>6
やつらはちゃんとした実態のある製造業であり、
本社にもチソコを堂々と掲げている。
業態として異なる。

一端の会社が金ケチってこんな脆弱な安物使うからだろ。
作者に責任押し付ける前にやることあるだろ。

アール・ジェイ・インターナショナル株式会社 RJ・インターナショナル
（株）トーホー TOHO-WEBSHOP
株式会社　長谷弘工業 Hasehiro Aidio
株式会社 ケントッシュ PET.STREET.COM
株式会社　たま出版 tamabook.com
オクダリビングス有限会社 オクダリビングス
有限会社バイオクリーン四国 バイオクリーン四国
株式会社 四季舎 四季舎
FRP-ZONE.COM FRP-ZONE.COM
株式会社おきなわ物産センター おきなわ物産センター
有限会社但馬ビーフはまだ 但馬和牛の産直便
オブザネージュ-スタイル- Of The Neige-style-
イケダ産業株式会社 キパワーソルト
株式会社　日本特殊医科 日特PRO-SHOP
ワイナピチュ ワイナピチュ
Only You DVD Only You DVD
物と僕 物と僕
・・・・・・・ 　

>>8
万が一にも流出しちゃ駄目なんだから、認証じゃ足りない
偶然正しいパス入れられたらどうする

＞株式会社　たま出版 tamabook.com

メッセサンオー怖い

>>14
検索してみたけど、ここ恥ずかしいものばっかり扱ってるなｗｗｗ

>>13
万が一って・・
IDが違うんだから
万が一もなにもないんだけど
それとも、たまたま間違えたIDで入力した際のパスワードが
万が一の確立で当たっちゃったのはまずいと言いたいの？

それって、すべてのＩＤとパスワードのシステム全否定？

火に油を注ぐ事してどーすんだよｗ
鎮火していたのに

>>1
> パスワード付きのＵＲＬ

これって何だろ

んー・・・取引先の情報を公開するかどうかって結構微妙なところだからな

URLにパスワード→ログイン後の画面にリンク設置→リファラでパスワード丸見え
設置したリンクがGoogle Analyticsか何かだったらイチコロ

てな感じの流出じゃないのかなあ？

WEBインベンター(失笑)

漏洩って何が原因だったの？
管理者のミスだとしてもこの会社が委託管理を請け負ってたのか、クライアントの担当者がミスしたのかハッキリしてんの？

>>17
そもそも外からアクセスできないようにすべき、ってことだよ

>>20
ORACLEのTVCM思い出した

社長が夜中に自宅から客の情報眺めてニヤニヤしたいとか
そんな理由で外部からアクセス可能になってることが多い

いや白紙どころか普通に残っているじゃん。
WEBインベンターのカート採用者
早く削除しろよｗ

ロリゲー購入者がいる危険エリアを特別警戒しろ

>>17
1人のIDとPASSレベルの話を管理者の話とごっちゃにするとか頭わいてるのか？

>>29
大学はまだ春休みだから変なのもいるってことだろ

>>29
何が違うの？

>>28
むしろおまえみたいな異常者が住んでるエリアのほうが危険だろ

物と僕、終わったな．．．
始まってなかったとも言えるが。

>>29
>>13,17は一般ユーザの話かと思ったけど
管理者の話も含まれるの？

管理者用パスワードっつったら
間違って入力したら入れちゃいましたぁ、なんつーパスにはしないだろうよ？

BASIC認証にしとけば少なくとも検索エンジンにクロールされることはないぞ。

>>19
http://example.com/cgi?$abcde&123456&login
みたいな感じで「abcde」がIDで、「123456」がパスワード
（もちろん、このURLは適当な。現実にはない）

しちゃうんだよそれが
パスワードクラッカーで破るのが困難なレベルのパスワードは
平均的日本人が誰でも暗記出来るものではなくなってしまうからね

物と僕 物と僕


ってなに？

検索エンジンはともかくURLにパスワード入れるような幼稚なCGIは
XSSやCSRFやセッション固定攻撃にも弱いと思ったほうがいいだろうな

エロゲ買ってる友達♀にこの話したら
別に流出したってたいした事ないでしょーと脳天気な返答が返ってきた…

>>37
まさかと思ったけど、本当にそうなのかなw
そんなこと小学生でもやらんぞ

君の友達みたいな人間がCGI作るとこうなるって教訓話だったのサ

>>42
CGI構築用のライブラリのなかには
GETリクエストとPOSTリクエストを区別しないものがある
そのようなライブラリを使って作ったCGIでは>>37のようなURLでもログイン出来てしまう
素人はそれを「便利だ」と思ってしまうかもしれない
無知な営業はそれを積極的に売り込むかもしれない

>>29はアホなの？ｗ

で、結局最低限BASIC認証さえしていれば
この事件は防げたのかな・・。
これだけだと不安かもだけど・・。

売り物なんだから最低限じゃ困るよｗ
そんな客が自衛しなきゃならないようなもの

>>46
このパターンの流出は防げたな

>>44
掲示板ですら区別しているのがほとんどなのにな
GET使うのは検索エンジンぐらいだろ

>>1
ああやっぱり。
気のせいかと思ってたけど、恣意的だったんだ。

ん？

もしかして今回の件ってメッセサンオーの管理者が馬鹿だったんじゃなく
外注したシステム製作者の落ち度なん？

コムショップ愛用の俺にはかすりもしていないが
ご不幸に見舞われた方々には哀悼の意を表明したい

>>49
そうでもないよ
ログイン画面はPOSTだけを使うのが常識だけど
例えば商品情報のページなんかはお気に入りに登録出来たほうが便利だろ？
だから積極的にGETを使うこともある

気の利いたフレームワークならもっと柔軟にURLからオブジェクトへマッピング出来るから
GETだのPOSTだのを意識する必要があるのは古い技術だと言えるけどね

>>51
外注というか、vecterで落とせるフリーウェアレベル
・システムがゴミ
・googleのツールがやばい
・管理者がアホ
・対応の遅れたメッセサンオーの責任(露見から長時間放置)
・被害者の運がない
この組み合わせが悲劇を呼んだ

>>51
外注したわけじゃなく出来合いのCGIを買ったんでしょ
素人が出来の悪い製品を買って大失敗という構図

営業は自分たちがやって、実作業は半島現地のキムチに丸投げする会社もあるからなぁ

WEBインベーダー

なるほどと思ったが、インベンターだったな

今回の事はwebサイト開発に半年も携わっていれば防げた事例だもんな

>>54
なぜか2ちゃんに書き込んだ第一発見者を忘れてるぞ

で、結局原因はなんだったんだ？

>>59
2chに書くのは基本だろ
下手にメッセにタレこんだりしたら逆に訴えられてﾀｲｰﾎの危険がある
JPCERTとかに報告するのも通報者を守ってはくれないのでやめたほうがいい

そもそもどうして流出したんだっけ？

>>60,62
エロゲのやりすぎには注意しろってことじゃね？

こういう事態の為にも緊急連絡窓口欲しいよな
最大手のソフマップでも営業時間以外には連絡取れないだろう

>>60
素人が作った自前のwebサイトみたいなセキュリティ概念の甘さと
共通のパスで管理しようとする等の管理側の甘えと
発見した事を２ちゃんに書いた馬鹿の甘さ。

第一発見者は一度メッサンオーに連絡して数日待つぐらいの優しさが必要だった。
問題はこの手の連絡した第一発見者に取り調べがあったりして社会的に優しさが無い事だが。

>>51
それなりに高額な金払ってシステム発注してるならともかく、
ネットで仕様公開してるような（廉価な）出来合いのモノをちゃんとセリュリティ
云々のチェックとかしないで使ったならメッセサンオーの責任が方がはるかに大きい
と思うんだけどどうなんだろうね。

>>58
半年どころか10年やってても問題意識を持たなければ何も身に付かない

>>64
そんなレベルの話じゃないと思うけど
そもそもセキュリティ意識もリスク管理も皆無だったから起きた事故なわけで

この程度のスクリプトは大学生の就活前の予習レベルだろ。
買わされた方は結構な値段出したんだろーな。ｶﾜｲｿｽ。

>>6
そこのスーパーラージにはお世話になっているよ。

まあ祖父やアマゾンで買っとけばとりあえず安全だ
万一そこから流出したらエロゲオタどうこうっつーかエロDVDその他諸々も流出するから
数十万数百万の性癖の中に埋もれる

googleうざすぎだろ常識的に考えて

>>70
知り合いにおまえの名前で検索かけられたら終わりじゃん
どこの人事でも面接の前に希望者の名前でググるくらいはやるよ

つか関係してるくせに自社TOPページになにも出さない時点でブラック

考えてみれば今時のブラウザなら
ロケーションバーにURL打ち込んだ時点で情報がgoogleに送られちまうから
＞パスワード付きのＵＲＬを一時的にもホームページで公開しないようにしてください。
ってのは無意味だろ

うわこれ外注だったのか。
10年ぐらい前の学生バイトの自作とかだと思ってた。

かつてない燃料なのにいまいち炎上しない
被害者がお前らだからか、

>>76
ヒントは規制

炎上しすぎて規制中なわけだが

>>76
エロゲを買った奴らの個人情報が流出するニュースって
TVでは一週間も続けられるほど人気なネタなの？

>>76
被害者には何の非もないからじゃないかな
かわいそうだから騒いでやるなよと同情的に見てる人が多いんだと思う

管理者用パスワードってrootpassと決まってるんでしょ？

>>74
Googleに限らず今どきのブラウザはマルウェアやフィッシング対策で
URLをサーバに送ってるからね。IEやFirefoxとかも一緒。

>>19
正しい＆間違いのパスワードを入力したら
その書いたパスワードを含むＵＲＬに移動。
正しい＝目的地のＵＲＬ
間違い＝存在しないＵＲＬなのでエラー

かな？JAVAスクリプトを応用したパスワード認証なら笑える。

まあ、明るみに出ても困らない買い物なら問題ないだろう。

>>70
ｷﾓｵﾀちゃんその認識じゃ危ないぞ☆

問題ねえって、変態を隠すなら変態の中だ
被害者多数なら開き直りでジャスティス

今回エロゲでたまたま注目集めただけで実はこの手のスプリクトの穴は多い。
２ちゃんねるも一時期は穴だらけだった。

>>86
まぁ今回のはただ流出しただけじゃなくて
誰でも気軽に名前なり住所なりでググるだけでヒットしたってのがやばかったからな
しかもキャッシュだからメッセのサイトに直接侵入することにもならないし

>>84
お前アホだろ…
買ったものが何であれ個人情報が流出したことに問題があるんだよｗ

のんびりのんびりｷﾆｼﾅｲｷﾆｼﾅｲ(^。^)y-.。o

へー
ttp://web.archive.org/web/*/http://wb-i.net/cool.html

>>90
若いな(^^ゞ

>>37
これ、出会い系とか掲示板に良くあるよね。

>>93
出会い系からの勧誘メールのURLがこんな感じだったりする。
「誰がリンクを踏んだのか」を特定できるように。
悪質なタイプだと、怪しげな規約に「同意する」のリンクだったり。

>>93
出会い系からの勧誘メールのURLがこんな感じだったりする。
「誰がリンクを踏んだのか」を特定できるように。
悪質なタイプだと、怪しげな規約に「同意する」のリンクだったり。

採用サイト削除した時点で更に信用落とすだけなのに

やはり一番の最強はすべてのポートを閉じて超能力でインターねっと接続できるシステムが最強ですね

むしろ採用してるところが対策し終わるまでは
隠しておいてもらわなきゃ困るだろ

>>80
ケツ毛バーガーであんだけ盛り上がってた時点で
「被害者にはなんの非もないから」とか「騒いでやるなよ」とかないわ。
「自分たちが当事者だから」以外に理由なんかないでしょ。

コストをけちるあまり素性の知れない会社のシステムを採用する時点で採用会社も知れてるな

>>1のキャッシュが見られないんだけど気のせい？

>>99
オレは盛り上がってねーぞ

漏洩というかこのケースの場合、露出狂の類いだろ。

こんだけ自らまる見せしといて「クロールされた」とかどんだけムダに上から目線なのよ

すこし前に
携帯画像投稿サイトの
画像ディレクトリがパソコンから丸見え状態になってて
２ちゃんねるで必死に発掘作業祭りになっててﾜﾛﾀことがあったわｗｗｗ
ニュースになってないけど
アレも流出してんだろうなーｗｗｗｗ

>>9
うわー
花hana-はなはな- って陶器屋？陶器屋だったら死亡だわー

>>54
元データのcsvまで公開サーバ上にあって丸見えだったそうじゃん。

>>104
利便性のためにインデックス公開してるサイトは沢山あるよ。

流出して焦ってるヤツの中に
ケツ毛で散々笑ったり、他人の不幸を喜んだやつ
がいるなら、そいつに限っては可哀想じゃないな。
そいつにメシウマ厨を喜ばせるお鉢が回ってきただけ。

345 名前：名無したちの午後[] 投稿日：2010/04/05(月) 03:19:36 ID:cxoI3abBO
お客様各位

拝啓、
日頃は弊社ＰＣゲーム館の通信販売をご利用頂きまして誠にありがとうございます。

早速ではありますが、掲題の件につきましてご連絡させて頂きます。

弊社の調査の結果、お客様の個人情報が漏洩していたことが確認されました。
漏洩した内容は、氏名、メールアドレス、パスワード、性別、住所、年齢、生年月日、携帯電話番号、一般加入電話番号、注文商品の一部（購入履歴）となります。

再度のお願いになりますが、パスワードを他社でも共通で使用されているお客様は、安全面の観点から、お手数ですが他社のパスワードの変更手続きをお取りくださいますようお願い致します。

些少ではございますが、４月１２日より順次、 ５００円のQUOカードをお送りさせて頂きます。

尚、現在は更なる漏洩防止のためサーバーを休止し、引き続き検索エンジン等の履歴やキャッシュの削除要請、２次流出の監視を行ってまいります。

今後、最新の進捗状況につきましては随時、弊社ホームページ上にて掲載させて頂きますので、ご参照ください。
http://www.messe-sanoh.co.jp/


この度の不祥事につきまして心よりお詫び申し上げます。

敬具

>>12
たま出版も使ってるんだｗ

ポッポの個人情報でも流出しないかなｗｗ

QUOカードもらえてよかったなｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

彼らはネット通販の危険さに警鐘を鳴らすため人身御供になったのだ…！！

お前らの個人情報なんて５００円で十分だろってことですね

>>109
ランダムに１００円くらいの定額小為替や切手とか送ったら・・・犯罪になる？

実際の使用サイトは、スレに貼られた企業サイト名ｘ５だからね。
中小の通販サイト使っていて怖いと思った人は、残りの分も調べてみるといいかも

今の大規模規制はこの馬鹿どもが原因なんだろ

実際の結果に当てはまるか判らないけど、
http://shakediary.blog93.fc2.com/?no=2476
という算定方法もあるらしい。
納得出来ないやつはクオカード送り返すくらいの意思表示をしたほうがいい。
まぁ文句の出にくいような絵のクオカードを発注するくらいは、メッセもするだろうけど

トップページを開くとまず真っ先に白人スーツ男性の笑顔が出てくるサイトは、すべて地雷

>>114
法的には面白い論議できそう。法学者の解釈割れると思うよ。

『ニュースと公開情報で事件を知り、被災見舞金として送った』と、
悪意を表ざたにせず善意っぷりのみをアピールすれば、大丈夫な割合高そうと思う。

注文したエロゲのパッケージデザインしたQUOカード送ればいいよｗ

>>1
採用サイト集がごっそり消えてるｗ

そもそも論としてURLにパスワードを載せちゃいけない

他のサイトだと流失してないな。検索しても引っかからない
メッセの管理がよほど杜撰だったんだろう

>>122

パスワードはもちろんのこと、メールアドレスも良くないと思う

一意に識別できるので、主キーとして利用されること多いけど、
今回のシステムのようにURLのパラメータにしちゃうと、
メールアドレス流出のもととなる

>>123

メッセの管理が悪かったのは言うまでもないが、
他のサイトでもかなりやばい状態だったと思う。
キャッシュにまでは載っていなくても、
インデックスに引っ掛かっていたサイトはある。
気づいた人がいて、管理者に連絡していたみたいだから、
応急処置的なことはやっているだろうけどね

このシステムを開発した彼、今どんな気持ちでこのスレ見ているのかなー？

>>５００円のQUOカードをお送りさせて頂きます

WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW

被害が無くても賠償したケース
IBM が神奈川県立高校に在籍した生徒 11 万人の銀行口座番号をネットに流出させてしまった事件（2008 年 11 月発覚）では、 2009 年 9 月 28 日、日本 IBM が約 1674 万円を神奈川県に賠償することになりました。
これまで被害は確認されていませんが、内訳は、県職員の時間外勤務手当など 1374 万円及び違約金300 万円となっています。
また、今後も県や生徒・保護者が損害を受けた場合は IBM が賠償するとしています。
space
このケースでは、後日、流出した個人情報を Share ネットワークに再放流した者がおり、著作権法違反容疑で逮捕されています。個人情報保護法は個人の過失を問うことができないので、当該個人情報が IBM の著作物であると見なして容疑を固めたもの。
しかし、この放流者は釈放後に起訴状をアップロードし、検察官に対しては「次回は著作物が混ざらないようにクリーニングした上で漏えいさせる」と言って出所したといいます。

* 「悪意ある放流者は追い詰める」日本 IBM が Share 流出を振り返る（INTERNET
ttp://www.pahoo.org/e-soul/privacy/atwork/atwork-019-01.shtm

商品説明に付けたリンクを編集画面から踏んでリファラで漏れたって所かな。

>>128
それは神奈川県とIBMでの契約に係る違反事項が賠償の対象だろう
第三者委託の禁止とか、行政から見た個人情報保護に関する対応とかだろう

Yahoo!BBの時も500円だったよ。相場なのかな？

>>109
これはQUOカードを受け取らずに、少額訴訟とか
ちゃんと集団訴訟を起こすべきだな

ほとんど全ての個人情報が漏れてるし、５００円で済まそうって態度は最悪

>>109
>５００円のQUOカードを
エロゲー買う奴のプライバシーは500円の価値なのかw

>>131
Yahoo!BBが500円で済ませたから、それから500円が相場になったんじゃなかったっけか。
ところで>>109ってネタじゃないの？

よりによってエロゲー購入者の個人情報だからな…

流出した客に連絡しなきゃいけないんだろうが、
これまた連絡で家族にばれたら２重被害になりかねず
客に損害賠償訴えられてもいいレベルｗ

というか住所名前電話番号生年月日まで割れると
結構ヤバいんだが…これ、どうするんだ？

個人情報漏洩の損害賠償額の相場は、1万5千円〜2万円だったはず。（何かの判例）
500円が不満なら集団で損害賠償訴訟起こしちゃいなよ。
弁護士を通して交渉すれば上記の額で和解となると思われ。
個人で訴訟したら、元は取れない。

>>136
裁判の準備と裁判自体にかかる時間、さらに精神的疲労を考えると
明らかに、ものすごく大赤字だな。

どっかで聞いた名前だとおもったら、うちの通販サイトのスクリプト販売してた会社じゃん。
さっきメール北よ。


★★個人情報流出の事故に関するお知らせ★★ＷＥＢインベンター

（略）　様

このメールは重要なお知らせのため、メルマガを解除されておられる方にも送信しています。
当社のカートをご利用になられていないのであれば必要ではないので、このメールを削除し
てください。迷惑メールとなりましたらお許しください。

最近、当社のカートを利用しているお店様で個人情報流出の事故が発生しました。原因を
調査中ですが、ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。
それで、早急にショッピングカートのセキュリティーを向上させる必要があります。詳しくは、
下記のページにその対処方法を記載いたしましたので、問題が生じないうちに対策を講じら
れるようにお願い申し上げます。

（略）

>>138
やっぱり日本語に少し不自由してる文面だな

>>138

＞ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。

何だこれ？
被害者的な言い分に思える・・・

ビジネス文書で「それで」ってのもなかなか

メールマガジンを解除しても個人情報を消さないんだ
アホが何をやってもボロが出る

>>136
エロゲ買った野郎同士で訴訟、しかも家族バレ

>>138

はてなブックマーク
http://b.hatena.ne.jp/entry/mag.wb-i.net/2010_04_02.html

これ以外にも、関連記事が書かれた最近のブログなどを検索してみて下さい

今後とるべき対策がわかると思う。

こんな業者に頼むような奴にはこの対処法、ハードル高くないか…？

>>144
使用システムをもっとマシな余所のものに変える。
ここからだろうな。

外人の写真が出てる辺りめっちゃ怪しいサイトだなｗ

ハナからエロゲに興味のない奴が勝ち組。

昨日、おとといは苦情いいに来たやつ何人か見たな

>>142
販売情報から過去の販売相手に送るのだろう。
こういった用途の所なら、それができないと被害が広がり続けて収拾できない。
文面的に”メルマガ登録していない方にも”だろうけど。

>>129
第三者がリファラを読めるのか？
どんなシステムだ？

ちなみにうちが購入設置したときは、
他に職業があるかたの副業的、個人営業だったと思う。
サポート掲示板に質問書いても、ほとんど回答なかった。

システムを改造しやすかったので、すごく古いバージョンのまま、まだ使ってる。

＞スパムアクセスの攻撃

えーっと・・・

VIPPERは206年に発見していた

>>154
大化の改新の４００年以上前か
さすがVIPER

>>154
>>155

諸葛孔明の時代やなｗ
赤壁の戦いの２年前か
日本だと卑弥呼ちゃんとかの時代かｗ

＞さすがVIPER
蛇？

ええなぁ、こんなんでも金稼げるのかぁ
やっぱ技術力は要らないんだな、営業力があり良心が無ければ金になるんだなぁ

その時の記録を見るとコピーエロDVD屋などが多くメッセは自分は無関係だと思っていたのだろう、もしくは開発側も対処を取らずに営業を続けていた
http://ex14.2ch.net/test/read.cgi/news4vip/1142214382/
ここにあるサイトは閉鎖や対策済み

うはｗｗ

>>91
グーグルは消されたし魚拓だとリスト1しか見れないみたいだけど
Internetarchiveだと採用リスト4まで見られるな
削除するのに時間がかかるんだよなあそこ

メッセも馬鹿だな
500円のQUOカード配って火に油注ぐくらいなら黙ってほっとけばいいのに
訴訟起こす奴がいるとしても極少数だろうから圧倒的にそっちの方が得
運が良ければ何も払わなくて済む

500円は受け取っちゃったら終りだねwww
受取拒否しないと

>>138
なにそのフィッシングメールの文面

今さっき、NHKのニュースで、
高島屋の顧客名簿紛失による個人情報漏えいやってたけど、
メッセサンオーの件ってTVとかでやってないよね？
この扱いの差はなんなんだ？ｗ

知名度

>>164
高島屋に買いに来る一般人＞＞＞（超えられない壁）＞＞＞メッセで買っちゃったヲタ
だからしかたない。
すくなくとも一般的にみたら

情報漏えいしたユーザが最も可哀相なのは言うまでもないとして、だ。
W社の糞スクリプトの品質の責任を100%メッセが負わないといけないのか、てのは疑問だな。
メッセはW社訴えて、そこで受け取った賠償金をユーザへの賠償に充てるべきだな。

同じプログラム使ってるとこってさ、

ディレクトリ構成とかログの場所とか　メッセサンオーと同じだよね？

やば

くね？

>>164
高島屋で買い物した、と知られても別にショックじゃないだろ
テレビでやればエロゲを通販で買った、と全国に知れ渡るんだぞ
首突っ込んで個人名とか検索されたら二次被害ってレベルじゃねーだろ
少しは考えろこの大馬鹿者が

WEBンベンターが提供する
最新の管理プログラクを使えば大丈夫

>>168

カスタマイズや改造出来ればまだしも、
普通はやばいわなー

てか、サンプルとかダウンロード出来るPerlのCGI使ってる時点で、
ソースコード見たクラッカーに狙われるリスクを考えてないってことじゃ？

結局どうなったの？
CGIはかなり前のフリーで公開されている物だったって話が出てたけど、
ここで買った物だったの？

そんな細かいことを調べてもしかたないようなレベル低すぎる話

520 名前：名無しさん＠十周年[sage] 投稿日：2010/04/03(土) 00:55:30 ID:UeK/Vn750
悪い順

1.超絶ザルなCGIを買って使ったメッセ
2.それを作ったインベーダー
3.情報発信ブラウザを使って管理していた沼○
4.キャッシュしてごめんねGoogle
5.気づいちゃった２ちゃんねら

▼ 529 名前：名無しさん＠十周年[sage] 投稿日：2010/04/03(土) 00:58:42 ID:NLOB++Ie0
>>520
2.それを作ったインベーダー

そうか宇宙人が作ってるのか

▼ 532 名前：名無しさん＠十周年[sage] 投稿日：2010/04/03(土) 00:59:54 ID:Y2Mbh6ou0
>>529

納得ｗ

>>160
なんでキャッシュ消えたのかなーと思って
トップページ見てみたら

<meta name="google-site-verification" content="E60nrpfWPB_tJt9M4zNioNiiqblZlzmFzm8dqO0rgW8" />

ﾜﾛｽ！！こいつもキャッシュ消しgoogleへ依頼したんだ！ｗ

>>174

「ワレワレハ、個人情報ヲ侵略スル為二、
　宇宙カラヤッテ来タノダ」


「インベーダー＝宇宙人」って誤解してる奴多いよなｗ
「インベーダー＝侵略者」一応つっこんでおくかｗ

他店での個人情報漏洩に伴う「ご購入履歴」機能の一時停止などについてのお知らせ
ttp://www.getchu.com/getchu/news20100405001.html

ろくな会社が無いな。

この会社のサイトいろいろ面白いこと書いてある…これ見てここのシステム使おうかなとは間違っても思わない。

>>54
>外注というか、vecterで落とせるフリーウェアレベル
vectorだよ。

ゴミシステムとゴミ業者の組み合わせがフィーバーしたな

普通に賠償請求で樹海行きだろ

2004年のプログラムを使ってるから悪いみたいな言い方しておいて、今頃修正してるとか酷すぎだな

>>182

>>138で、
＞ショッピングカートが何らかのスパムアクセスの攻撃を受けたと考えられます。

こんなこと言い方してるくらいだからな・・・
「当社は被害者（キリッ」
攻撃じゃなくて、自爆だろ・・・

普通は.csvファイルにアクセス制限かけるものだが。

>>184
今回、メッセサンオーさんはノーガード戦法だったようです

こんなこともあろうかと、
普通は.csvファイルにアクセス制限かけるものだが。

ごめん、素人なんだけどCSVのアクセス制限って暗号化されるん？
つーか、バイナリで読めるような作りにはなってないってこと？

>>186
ファイルのパーミッションを600かい？

>>188
普通だとサーバ上のプログラムからのみアクセス可能にしておく代物
403 Forbiddenってみたことない？

ミス
>>189は>>187あて

>>187 >>188
Apacheなら、これで幸せになれるよ。

<FilesMatch "\.csv">
Order allow,deny
Deny from all
</FilesMatch>

>>189
馬鹿まるだし

>187
『サーバのアクセス制限』っていうのは暗号化とは別なものだよ。
OSやサーバアプリで『このファイルを見る権利を持っているユーザー』を管理するの。
だから物理的にハードディスクひっこぬいて他のマシンにつなげれば見れたりするね。

絶対に謝罪しないって事は外資かな？

>>190
そういう意味のアクセス制限ね
CSV関係ないじゃん

対策が「metaタグ入れてロボットからクロールされないようにしました」
なんてな事を真顔で言う所だから、あんまり安心出来ないよね。
metaタグは「クロールしないでね」っていう単なる「お願い」に過ぎないんだけど。

>>186
DB入ってるcsvなんかweb鯖共有上に置くのが狂ってる

アクセス制限とかじゃなくて、見えちゃいけないファイルは公開ディレクトリより上の
そもそもwebサーバーがアクセスできないパスに置いといて、
cgiからだけ見えるようにしなきゃいけないんでないのか

問題なのは不要な情報を集めた事と
情報溜め込んでる事だろ。

うほっ

>>197 >>198
突っ込みどころ満載だね。
10年以上前から気をつけるべき定石なのに。

>>199

問題なのは、公開しちゃいけない情報が漏えいされたこと。

情報の収集、蓄積自体は必要で、
電子帳票保存法のため、７年間の保存義務がある

また、今回の事件に対して、getchu.comが、
以下のようなお知らせをだしたみたいで、
そこにも書かれている。
問い合わせが多かったんだろうな・・・

他店での個人情報漏洩事件に伴う「ご購入履歴」機能の一時停止などについてのお知らせ
http://www.getchu.com/getchu/news20100405001.html

＞お客様からお預かりしているお客様の個人情報、ご注文内容ですが、
＞税法上の規定により取引情報については7年間の保存が義務づけられているため、
＞弊社ではその期間内のご注文内容および、その際にお預かりしたお客様の個人情報を保管しております。

>>197-198
それはそのとおりなんだけど
非公開の置き場所が無いレン鯖とかよくあるだろ
これは低レベル過ぎて常識は通用しない世界の出来事だから

pass入りURIって超ウルトラCも加わってるからなぁ

>>203
そもそも内部管理情報になる顧客情報と商品情報を
外部に公開してるサーバーに置いてる時点で不味いだろ
まともな感覚なら内部情報は絶対に外からアクセス出来ない
サーバーに分離する

>>202
年齢で良いところを生年月日を入力させる必要はないだろ
帳簿だって名前まで保存する必要は無いだろ
もし必要なら店頭販売で名前を聞かないといけないんだし

>>205
いやだからまともな感覚はこの世界じゃ通用しないんだよ

GETのままなのかよ…

七年分すべてをデータベースに置いておく必要はない。
リスクが大きくなるだけだし。

ゲッチューの前身の同人．ｃｏｍ（？）の頃に使ったっけ
一日経ったら頭が冷えて、発送前にキャンセルしたけど。

>>209
同意。過去一年分程度が見れればいいし、表示はテキストベースでなく
テキストを前提としたコピーできないorコピーしても活用の難しい画像形式で見れればなおいい

今回の件で自分が普段利用しているCGI/ASP系のサイトを調べたが、なんかヤバそうのが結構ある。

Googleは本当に信用できなくなった。Chome消すか…

>211
この件で信用できなくなる対象がなぜGoogleなんだ？

理系の女の人ってエロゲ好き？

正直晒されたヤツいる？

クロームがURL入力欄を本社に送るから今回の問題が起きたという書き込みについては大いに疑問がある
URL蘭が送れるならサブミット用の領域もHTTPSでの操作も全て送っている可能性もある
まずソコを確認するのが先決ではないだろうか？

>>205
一緒のサーバで運用するなんてよくあることだろ。
制限は、管理画面の特定IPから許可にするとかそういうレベルだよ。

コストけちってるのに、なにいってんだ？

>>215
URL欄じゃなくて、ブラウザがwebサーバに対して出すhttp requestに含まれるアドレス情報だな

よく見るとこの会社って法人格名乗ってないんだけど
実態は個人なのか？

>>217
そうなのか
とはいえそれだけでも、ほぼ完璧なエンドユーザーのトレースが出来ちゃうな

>>215
それをやっていたらほとんどの国で違法だからGoogle終了

>>218
ドメインがco.jpだから法人格だな。

URL認証は認証ではない
知られにくいページにすぎないのよ

>>221
WEBインベンターのほうな

>>209

＞七年分すべてをデータベースに置いておく必要はない。

これはその通り。
ただ法改正前は、紙媒体での保存が義務付けられてて、
改正後は、保存場所などのコスト考えて、
紙->データ　の流れになっていったと思う。
データベースじゃなくてメディアに移動保管も可能。

>>1
もう、webインベーダーもメッセサンオーも共に滅んでくれていいよ

>>1
＞パスワード付きのＵＲＬ

すまんが、ここを誰か日本語に訳してくれ。

whoisでwb-i.net調べたら個人名だた
怪しさ爆発

>>220
chomeには少なくともブックマークと検索欄、IPアドレス、一意のインストールトークンは送信されると書いてある
同期とやらをすればグーグルアカウントとも連結されるとな
他のブラウザや他の検索サイトでも検索語やIPアドレスやクッキーで十分個人プロファイルされて
トレースされてるに違いない

>>219
だからフレームに隠しててもブラウザから見れば丸見え

あるページを要求　（http headerにはフレーム画面のURLを要求）
↓
フレーム画面を表示
↓
フレーム内の構成ファイルをリクエスト　←（http headerにこのパス付きアドレスが含まれる）
↓
フレーム内の画面を表示

なのでブラウザのURL欄に何が表示されてるかなんて関係無い
ブラウザはサーバに対してファイル転送要求を出す際にhtmlだろうがgifだろうがあらゆる
URL情報を出してファイル要求するので、この部分をごっそり何かが監視しててそれなりの
ところに送るのは技術的に可能

>>65
2chに書いた馬鹿は確信犯だろうけどなｗ

なんのかんの改善もせずにしのげるもんなんだな。
個人情報流出って大したことじゃないんじゃないのか。

>メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
>http://blog.livedoor.jp/blackwingcat/archives/1128067.html

>今回の件、4年前にも同じ事件起きてたんだな。
>http://www.pine.mynetwork.org/WebNote/Note.aspx?gr=net&id=1ZR0GGXZKU5GC

>>230
メッセサンオーに先に連絡してしらばっくれられてシカトされたから
２ｃｈに書いたとも取れる
少なくとも3/29日の時点で漏洩してることをメッセの内部的には
知っていた（報告があった？）とうかがえる発表になってるし
ν速でのスレは4/1夜からだからそれまで2日間、何も対応しなかった
ということになる

馬鹿正直に教えてやる必要はないし
日本は正直者が馬鹿を見る国だから通報はやめておいたほうがいい
見つけたら2chにスレ立てるのが今後の教訓にもなるから一番いい

>>206

「情報の収集、蓄積」とまとめて書いてしまったせいで、
意図が伝わりにくかったかもしれん。スマン

言いたいこともわかるし、私が言いたかったのは、
収集：必要（集めなきゃ通販できんよね）
蓄積：最低限の情報のみ必要（法律の制約）
ってことです。

あとは、購入契約時の個人情報保護の同意次第かな。
嫌なら同意するも必要ない。

＞年齢で良いところを生年月日を入力させる必要はないだろ

成人商品を扱う以上、建前上でも、何らかの年齢確認は必要と思う。
年齢、生年月日のどちらでもいいと思うけど、あとは店側の判断かな。
（通販だから偽ることだって出来るし、確認もしにくい）
ただ、18歳未満に販売していたという情報も出ていたので、
その点に関しては、本来の目的を見失っていた可能性もあり、
店側は批判されてしかるべきかと思う。

＞帳簿だって名前まで保存する必要は無いだろ
＞もし必要なら店頭販売で名前を聞かないといけないんだし

通販だから販売時の収集は必要だよね。お届けできない。
店頭販売は名乗る必要ないし。
蓄積時には消しても良いと思う。

店側を擁護する気もないし、購入履歴うんぬんの話が出てたから、
法律の制約があるってことだけ言っておきたかった。それだけです。

＞そして、時々パスワードを変更することはいつの場合でも役立ちます。

なんで翻訳調なん？

>>10
インフラ化ってなんだ？
カルテル化？

インフラと化してるって事だろ

>>232

http://tsushima.2ch.net/test/read.cgi/news/1270362640/153
↑お詫びメールのコピペが貼ってある

＞誠に遺憾ながら、先週３月２９日に弊社のサイト「メッセサンオー・ＰＣゲーム館」 の
＞お客様情報が漏洩していることが判明致しました。

いままでの調査の結果、
3/29から公開状態になっていたことが判明したんだろう・・・
3/29から知っていて、4/2まで何の対応もしてなかったたとしたら
いくらなんでもひどすぎるぞｗ

ただ、日付だけわかってもなー・・・
何でgoogleにインデックスされたかを説明しないと・・・

パスワードは認証の時以外に絶対使ってはいけない
セッション切れの場合はセッションIDをクッキーに残して照合するか
バッサリ切り捨てて再認証させた方が良い
最初の認証以外にはＰＯＳＴデータにも絶対パスワードは含めないのが当たり前だろうに
ＵＲＬにパスワードを含めるなど言語道断

ちなみにパスワード変更画面でＨＴＭＬでおもいっきり
新しいパスワードを表示しやがる糞サイトはしんでほしい

詳細を公表してもそれを評価する人間は日本に数人しか居ないのに
公表する企業は馬鹿

メッセのいう３月２９日は嘘だろ
２chで発見されて騒ぎになるまで通販サイト閉じてないし、お詫びも掲載してないしな
普通はアクション起こすだろう

もし本当に３月２９日にわかってて通常営業してたのなら
被害者ふやすためにわざと放置したとしか思えん

>>241
決算前の最後の追い込みに通販サイト閉じるより、被害者が増えても４月まで逃げ切りたかったんだろ。

だから被害を最小限にするには通報じゃなく2chにスレ立てするべし
この国では警察もマスコミも機能していないのだから

>>228
Chrome と ツールバーの通信をデバッガで覗いて解析してる人がいるが、
クエリストリングは(URL内のパスワード)は送信されないらしいぞ
http://d.hatena.ne.jp/mala/20100403

Chrome / ツールバー 原因説は無理がある気がする。

>>241

後から遡ってアクセスログなどを調べたら、
3/29から漏れてましたってだけでしょ。
調査が不十分なだけで、もしかしたらそれ以前かもしれんしな。

この程度のスキルで、3/29当初から把握していたとも思えん

まー本当だとして、この日付付近で、何をしたんだ？ってこと

評価というより、補償とともに最低限果たすべき責任だと思う

パスワードを平文で送るシステムがバカすぎ

パスワードは認証だけに使い、認証は暗号化をチョイスできるようにするのが当たり前

>>239

＞ちなみにパスワード変更画面でＨＴＭＬでおもいっきり
＞新しいパスワードを表示しやがる糞サイトはしんでほしい

え？そんなサイトあるの？
そりゃ目を疑いたくなるね・・・

>>242
どっちにせよひどいことだ

>>245
ああ、そういうことか

最初の見つかったgoogleキャッシュの取得は３月２３日のようだけど・・・

>>248

＞最初の見つかったgoogleキャッシュの取得は３月２３日のようだけど・・・

俺も、直接見た訳じゃないのでわからん。
2chのキャッシュ3/23説が正しいのなら、
メッセのメール報告（3/29）は、
嘘または調査不十分ってことになるからなー

>>244
ツールバーとか使ったことないからよくわからないんだけど
ユーザーが任意にログインしてグーグル側に保存してるブックマークをユーザーに無断でクロールしてるのでは？

ログインしてようがしてまいがhttpなんか保護されてるコンテンツじゃないよ。
そもそもセッション無しでアクセス可能だったから、ノーガード状態。

俺5000万ほどゲーム注文書が送られてきたんだが
被害者の方はメールまたは電話で下記に連絡してください
なんて怖くて連絡できない

メッセHPに経過報告きてるみたいね

http://www.messe-sanoh.co.jp/

これはひどい・・・

3/29（月）
・15：37 お客様より情報漏洩のご指摘をメールにて頂く。
・弊社にて検索サイト経由での漏洩事実を確認する。
・検索サイトに削除要請を出し、対応するＣＧＩの名称変更・管理パスを変更。

3/30（火）
・緊急対策室を設置。
・IT技術会社に支援を依頼する。

>>226
＞暗証番号混入的電脳帳の住所

やってた事はザルだったけど、対応は誠意あるものだと思うけどね
楽天の対応なんか「これやるからもう黙れ、乞食」って感じだったし

BASIC認証もURLに埋め込んでアクセスする裏技的な物があるから、そのURLが漏れたらヤバイな。

どっかのサイトであったなぁ・・・
パスワード忘れて問い合わせたら、自分の設定したパスワードそのものを教えてくれた所が。
まんまパスワードを保存してる危ないサイトって証拠だよな。
普通は一時パスワードを教えてくれて、後で自分でパスワードを設定させるものなんだけど。

>>249
＞ 俺も、直接見た訳じゃないのでわからん。
＞ 2chのキャッシュ3/23説が正しいのなら、
＞ メッセのメール報告（3/29）は、
＞ 嘘または調査不十分ってことになるからなー

いや、矛盾はしてないでしょ。
Googleが拾ったのが3月23日な事と
メッセに通報した人が3月29日な事は矛盾しないし、
「調査不十分」という話ではない。

>>260
でもGoogleキャッシュは4日までほとんど見れたよね
3日っていうのは明らかな嘘だよ

3/30
・IT技術会社に支援を依頼する。

システム屋でもweb屋でもない商店じゃツテもあてもなくとりあえず手伝ってもらえる所探したんだろうなぁ
聞いては断られでずるずると時間経過
　 　 　
3/31
・IT技術会社と対策を協議。

現状を詳細に調査確認する時間を経て翌日に詳細な話が始まったと
スクリプトの改修やソッチのほうを主に相談してたのかな

あと、キャッシュ削除依頼は御社の責任でお願いしますって付帯がついてたとか
もしくはキャッシュ削除は弊社がやりますなんて最初にいっちゃったとか

二つの問題が同時に発生してるのに片方の医者しか呼んでないような
　 　 　

4/3
・検索サイトのほとんどのキャッシュが削除されているのを確認。
・ＨＰ上に経過報告を告知。

これ、遅い時間じゃなかったっけ
日中は見えたし、「消えていってるよｗｗｗ」ってのを見たような気がする

>>263
実際は消えたのは4日になってから

被害者の会とか立ち上がらないの？
エロゲ買ったと漏らされた奴は泣き寝入りか？ｗｗｗｗｗ

経過報告の対応の遅さにびっくりしたわｗｗ

>>37でﾜﾛﾀｗｗｗ

消した事自体は証拠隠滅というより他のサイトも似たような脆弱性突かれる事考えると正解だろう

昔半角板で特定のキーワードで検索したら海外のアダルトサイトのログイン後のページがヒットするスレッドが立ってたな。

>>261
ま、Googleだって「消せと言われたら無確認無条件に消します」と言うような会社じゃないし
実際に「特定のキャッシュデータを消せ」コマンド発行した所で
Googleのサーバーから消え去るまでは時間も掛かるだろうって所では。

まぁ あれだわな 多少金がなくても
ネットワーク／データベース／セキュリティ
外向けのシステムなら この3ポストだけは
しっかりしたプロなりチームなりを置いて欲しいな

みんなも個人タイト立ち上げてCGI置いたりお勉強しておきましょうｗ
BLOGとか簡単な事に走りすぎ

個人タイトでググったらなんか怪しいのが出たぞ

>>260

>>249の引用部分に対する指摘という点では、
君の言いたいことはわかるし、正論だと認める。

ただ、ちょっと落ち着いて、前後の流れで読んで貰えると有難い。
限られた情報による推測部分だから、間違いもあるかと思う。

言いたいことは、
>>238のこの部分
＞誠に遺憾ながら、先週３月２９日に弊社のサイト「メッセサンオー・ＰＣゲーム館」 の
＞お客様情報が漏洩していることが判明致しました。

この文面にある「3/29に判明」という日付をどう捉えたかです。
A.漏えいの開始が、3/29であることが判明
B.漏えいの事実を、3/29に店舗が確認した
今日のHPの告知では、Bであると報告されたのですが、
それ以前の段階では、文面に明確に表現されていない為、
Aともとれるし、Bともとれると思う。
私は、「Aであるならば、3/23のキャッシュの話とは矛盾するね」
と言いたかっただけです。
（Bであるならば矛盾しないのは、ご指摘の通りです）

3/29に把握していてこの有様だと、さすがにひどいと思い、
発生3/29、把握4/2だろうなという思いもあった。

「店舗側がいつ把握してどう対応したか」も重要なのはいうまでもないが、
「何が原因で漏えいしたのか？」ということを重視しているので・・・

カオス館しか見てなかったけど、
まあこのフットワークの悪さも、こんなもんかなと思う。

今回の被害者さんはあれですか
新宿2丁目を半裸で歩いててレイプされた人みたいなもんですか

インベンターｗ

>>276
有料便所で糞してたら、便所の中がいつのまにかとある方向から丸見えだった感じ

最新版は大丈夫なんじゃなかったの？
えｗ

>>231
>今回の件、4年前にも同じ事件起きてたんだな。
>http://www.pine.mynetwork.org/WebNote/Note.aspx?gr=net&id=1ZR0GGXZKU5GC

この四年前の流出事件ってどういう経過になったのかな。
インベンターはやっぱり無傷だよね、今回までメッセのcgiも放置していたんだし。
インベンターの真価はcgiよりも流出逃げ切りノウハウにあるのか。

DMMは大丈夫だろうな・・・

>>281
漏洩しない限り絶対大丈夫だから安心して！

>>274
なるほど、自分はメッセサンオーの説明を読んで

＞ B.漏えいの事実を、3/29に店舗が確認した

という解釈しか思い浮かばなかったもので。

ただそれより、メッセサンオーの説明ではすぐに「パスワード変更」した事になってるが
ν速では4月2日か4月3日にメッセサンオーの管理画面を
直接弄り回して遊んでる奴がいたっていう矛盾が気になる。

見るからに怪しいサイトで笑ったｗ
こんなところに委託するほうにも問題あるだろｗ

ブラウザをGoogleChoromeじゃなくてIEだったら流出を防げた
これは情報を鯖に勝手に送信してるんだよね

もうこの件に関してはインベンターじゃなくてインベーダーで統一していいんじゃないか

>>278
なんか納得できた

あれだよね普通に風俗行っただけなのに
女が年ごまかしてたせいで淫行で逮捕された人にも
何となく通じるもんがあるよーな

>>283

まずは、ご理解頂きありがとうございます。

＞ただそれより、メッセサンオーの説明ではすぐに「パスワード変更」した事になってるが
＞ν速では4月2日か4月3日にメッセサンオーの管理画面を
＞直接弄り回して遊んでる奴がいたっていう矛盾が気になる。

そうそう、これに関しては、疑問がわいてきた。

http://qiufen.bbspink.com/test/read.cgi/hgame/1270451222/938
↑の内容が気になってる。

＞このページは 2010年3月23日 15:31:58 GMT に取得されたものです。
＞そのため、このページの最新版でない場合があります。

＞管理画面のGoogleキャッシュを見たら、
＞3/29以降でも管理画面に入れたらしいパスワードと同じなんだよね
＞パス変えたのもCGIのファイル名変えたのも大嘘

この3/23時点のキャッシュのパスワードが、
2chでばれた例のパスワードと同じらしい

どういうこと？って感じ・・・

>>271
その「プロ」に頼んだ結果がこれなんだろきっとｗ

>>289

まぁ、あれだ。
名医かヤブ医者かを見抜けなかったってことだ。
美容整形外科とかでもトラブルあるみたいだしな。
昨日NHKでやってたが、ひどいもんだ。

>>289
「プロ」でも値段が数万円のシステムだからなぁ・・・

＞超高機能カート
＞PCtoMobile(58,000円)PC携帯連動・人気NO.1（⇒詳細）

安すぎｗｗ

素人がプロ名乗って偉そうにしてる場合と、

経験積んだ人がプロ名乗って偉ぶらない場合とでは

前者の方がスゲーとか思われるのが世の中だよ。

民主党が政権取ってるのとメッセ流出事件は根っこが同じですわ

つか3/29の時点で被害者にはメール連絡してないとダメだろ

セキュリティリスク説明してある程度の値段提案した開発会社あっても
そんなのはその時考えるって言い張って安いとこ選んだ結果だろｗ

こういうの未必の故意って言うんだよなｗ

メッセサンオーってキモい奴が集まってる店か

test

中卒で情弱の俺がネットショップやるときは、
fc2やカラメルとかにするべきだと学ばせてくれた
ニュースだ。ありがとう。

>>37
ひどすぎる…

>>292
安いのか、普通どれくらいなんだろう

発明じゃなくて騙す方のinvent?

>>259
>パスワード忘れて問い合わせたら、自分の設定したパスワードそのものを教えてくれた所が。

2ch...

ユーザー登録した後に送られてくる確認メールにパスワードが書かれてるシステムは信用すべきでない。

「現在までの対応」に修正きてるね
http://www.messe-sanoh.co.jp/

・CGI開発会社と相談。
当初記載の4/2ではなく、3/31であった模様。
→この時点で相談はうけてたのね・・・

・警視庁サイバー犯罪対策室と相談。
当初記載の3/31ではなく、4/2であった模様。
→結局、2chで大規模に発覚した後に通報ってことですか・・・

古いバージョンのCGIだからURLにパス入ってたのかと思っていたけど
メッセの流出事件の後で慌ててURLにパス入らない版を作ってるのね

>>301

常識的に考えて１人工\50,000位だろ？
10人が一ヶ月で開発したとして200人工程度の仕事だとすると
一億程度かかるんじゃないの？
それを100件に販売して元を取ると考えたら一件100万な訳だが

>>307
それくらい違いがｗ
でも同じcgi使ってるとこ他にも一杯あるみたいだよね
メッセは違ったけど小さいとこの通販はあまり使わない方が良いのかな

一桁ちがう

WEBインベンターのサイト変遷をウェブアーカイブで追っていくと楽しいよ
http://web.archive.org/web/*/http://wb-i.net/

住所はこのように変わってる

〒310-0013　茨城県水戸市若宮1-7-15-103

（参考）県営若宮団地 15号棟　ttp://www.ijkk.jp/t/t2011015.html

　　　　　　　　　↓

〒310-0851　茨城県水戸市千波町611-9　IKﾊｲﾂ103

（参考）IKハイツ　ttp://archive.homes.co.jp/estate_master/931983/

　　　　　　　　　↓

〒310-0022　茨城県水戸市梅香1-2-25-204

（参考）ロイヤルヒルズ梅香　ttp://archive.homes.co.jp/estate_master/386322/

>>301,307
普通の中小の制作業者でもこの手の開発だと、30万は取る。５万というのはいくらなんでも安すぎ。
５万の仕事と考えると分相応のセキュリティーだろ。
そもそも、こんなもんは素人のCGIだと、言っているようなヤツには、じゃあ、お前は同じものを５万で
ちゃんとセッション管理のセキュリティー対策を施して作れますか？と聞きたい。

少なくとも、５万じゃあ、そもそも生活もできないし、仕事にはならない。
そんな仕事に完璧なセキュリティー対策を求めても無駄。

>>311
安いから許されるというものではない。
そのようなまがい物しか作れないなら、最初から商売しなければよい。
騙される客がバカといえばそれまでだが、>>310 に示すように楽して着実に儲けているみたいだ。
だれか水戸市に住んでるやつ、スネークしてこいよ。

>>311
いや、買う側は言外にセキュリティー面も求めている、付属されているものだと思っているだろうから
セキュリティ云々わからない素人に詐欺を働いたと言われてもしかた無い
詐欺に合う方が悪い、犯罪にあった被害者の方が悪いというレス

元からそんな安価で作るとこがおかしいんじゃないか
CGIを他の品物に置き換えてみたらわかることだと思うけれど

途中送信しちゃったorz

>>313
> 元からそんな安価で作るとこがおかしいんじゃないか
> CGIを他の品物に置き換えてみたらわかることだと思うけれど
トヨタ車のことですね。わかります

>>310
それは出世しているという意味なのか？
まったくわからん。

こんな高校生レベルの内容で仕事になるのが驚き
儲かってるのかな

>>293
中途半端にかじってる奴までは前者に騙されるケース多し

>>310
＞ （参考）県営若宮団地 15号棟　ttp://www.ijkk.jp/t/t2011015.html

県営団地ってのも凄い出発点だなあ。

メッセで登録したパスワードがわからんｗ
5年前に会員登録して何も買ってないのに巻き添えだ・・・ORZ

以前の流出事件後、同じ原因でさらに大規模な流出がおきた流れは、
他の品物で考えるとどんな感じ？

>>321
倉庫の鍵を入口のポストの中に入れていたぐらいな感じかｗ

鍵はここって目印とともに？

というより鍵穴に挿したままレベルかな

頭がフットーしそうだな

>311
phpでアフターなしなら15万くらいなら請けるかも

場末のプロの仕事そのものだな。
時間とプライドがある素人のCGIの方がマシ。

verupきたらしいよー
あいかわらず日本語へんだよー
XSSについては書いてないよー

キャッシュを消すようにグーグルに注文できないのかな？
グーグル自身は意図的に集めてるわけじゃないだろうが
個人情報ダダ漏れのままじゃ流石に問題だろ

>>329
キャッシュなんかもうとっくに消してるだろ。メクラかよ。

検索結果自体は残ってて、そのURLにユーザーのID(メアド)とパスワードが含まれてる点は問題だが。
Googleが消すのを拒否してるのか、メッセもGoogleもそれ(パスワードがある事)に気付いていないのか。

管理プログラムのセキュリティーの向上 ２０１０年０４月０７日

http://mag.wb-i.net/2010_04_07.html

>>313
売り文面見てないからアレだが、web上で動くこの手のものにセキュリティはあって
然るべき、ってのはわかる。
詐欺と言われても仕方ないが、だからといって法的に責任があるかというと微妙。
あと安価だからおかしい、というのは違うと思うぞ。高ければいい問題でもない。

無知故に問題が起きてるのは事実で、結局、webサイト運営者の知識がなさ過ぎることと、
セキュリティに対する考えが希薄過ぎること。
サービス提供者側のレベルを上げるか、制度的なものを作って制限する、あるいは
ガイドラインを設けてマーク付けるとか、そういうのしていかないといつまでも同じだね。
どんだけ一部の人が啓蒙したって無理。

実際ガイドラインはあるんだけど、強制力も何も無いから事実上役に立ってないし、
利用者も大丈夫なのかどうか判断することが出来ないままだ。

http://wb-i.net/advice.htm#ip

この ip_check.pl ってのは許可したいIPに部分一致するIPが制限されずに通るね
0.0.0.1 を許可IPにしても 10.0.0.123 が来れば制限通過
なんで eq じゃなくて =~ 使うのかわからん

>>333
部分一致である必要があるからでしょ。
その実現方法が手抜きなのが問題なんだが、eqにしてしまっては意味がない。

おおかたの自称IT会社は大量の派遣ITドカタを抱える中小にまるなげ
日本のIT界は中国人もひくレベル

技術力の無さに眩暈がしてくる

804 名無したちの午後 [sage] 2010/04/08(木) 13:28:12 ID:RwGgJX+r0
メッセ−のホームページに告知来たね−
これ神対応じゃね？

805 名無したちの午後 [sage] 2010/04/08(木) 13:33:46 ID:hpW8PG0I0
何も変わってないと思うんだが

814 名無したちの午後 [sage] 2010/04/08(木) 13:56:40 ID:RwGgJX+r0
あ、ごめん、まだ更新されてなかった


メッセサンオー工作員、
馬鹿なので更新前に書き込んじゃったの巻ｗｗｗ

ＷＥＢインベンターといい、メッセサンオーといい、どうしてこうもバカばっかりなんだ。

類は友を呼ぶとか何とか

>>337
結局釣りだったんじゃね？

釣りにもなってねえ。かまって欲しいだけの残念なヤツだろ。

インベンターCGIの流出事件が再発であることはあまり
重視されてないのか

管理プログラムのセキュリティーの向上 ２０１０年０４月０７日

一度ログインに成功したらクッキーが生きているかぎり、嘘のパスワードでも認証通る。

>>343
kwsk

>>333
多分「ビットマスク」っていう概念を理解できてないんだと思う。

・・・・・っていうか、その書き方だと正規表現の概念すら理解してないんじゃないのかと思う。

>>345
理解してないのか、たまたまマッチしたりしないだろう、といういい加減な考えか。
必ず部分一致になってしまう以外に.(ドット)の部分が何にでもマッチしてしまうという問題がある。
全ての顧客に^と$とバックスラッシュを使って正規表現を書かせるのは無理があるし、
ネットワーク単位での指定ができないから、正規表現をそもそも使うべきではない所ではないかと。

if (!hasCookie) {
autheticate(uid, pass);
} else {
// invalidate();
}

>>347
うは・・
ほんっとに素人が作ってるんだな・・

俺は今すぐには悪用は思いつかないけども
確実に誰かに悪用されるぞこれ

>>348
// invalidate();　/* 夏になったら本気出す 2010.04.08 */

>>333
ip_check.plの書き様があまりにも素人過ぎる。
perlの素人というよりプログラミングの素人という感じだな。
このレベルの人間がプロとして顧客情報管理CGIを
請け負うのだから世の中は恐ろしい。

パーミッションは604で良いと思います。たぶん。

四年前から指摘されていたのに、たいした改善もなかった。
改善しなくても商売としては成り立ってしまっていた。

エロゲースレとか、メーカー工作員と思われる奴がウヨウヨいる

>>346
> 正規表現をそもそも使うべきではない所ではないかと。

「正規表現を使ってる」という発想すらないんじゃないか、このWebインベンターの人。

てーか、requireで他のperlスクリプトインクルードして使おうとするなら、
そのインクルード対象のスクリプトは最後に

1;

とか書いておくのがお約束だと思ってたが違ったっけか。

あげ

やっぱり発注する側にもそれなりの知識は必要だと、あらためて思う吉宗であった

てか、ほんとPCとネットは最低限の知識が浸透する前に拙速で普及しちまった感があるなぁ。

>>333
$ip = '^0\.0\.0\.1$';

として通過させるIPアドレスを指定すればいいわけで、そこは突っ込むところじゃないと思う。
けど、メッセサンオーの担当者がそうかくとは思えないが、

ネットは進化しているのに日本人の脳は退化しているからな

>>356

消費者として利用するという点では、
PCとネットに限った話でもないとは思う。

商売として利用するなら、最低限の知識は必要だが、
何をもって最低限とするかの判断や規制が出来てないのが現状ってところか。

他業種なら、国家資格や免許とかあるんだろうけど。
ITは・・・

>>9
＞（株）ウルトラ・ヴァイヴ　
名前からして、ここの名簿が流れたら阿鼻叫喚の地獄になるに違いない。

>>360
確かに音楽関連の趣味がバレるのは、相当恥ずかしい。

>>347
一度も認証に成功してなくてもCookieさえあれば、通りそうに見えるけど
//って、コメントアウト……？

>>354
それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。

>>357
そう書けと言っていないんだから、突っ込む所どころか
脆弱性そのものだと思うんだが……いろんな考え方があるもんだな。

>>360
http://www.ultra-net.jp/

4/3にとっといたリストとちゃうな
古いデータのキャッシュかな

以前、外に繋がってない社内ネットワーク限定のシステムってことでお手軽にgetばかりのアプリ組んだら、
プログラムをロクに知らない奴からセキュリティを知らなさ過ぎると貶されたことがあったなぁ
締めるところと緩めるところを勘違いしてるほうがセキュリティ的に問題だろうに…

>>365
おまえからはインベーダーの臭いがするよ

くんくん！

インベーダーの自社サイト、home page builderで作成したページがあるんだよね。
まあ、home page builderが悪いわけじゃないけど、まあ、不安になりますわな。

年齢的に４５〜５５歳ぐらいで、PHPとか、フレームワークとか知らない古い世代の
人なんだろうな。その年代のひとって、セキュリティの概念て、
パスワードとか、LINNUXのパーミッションとか、その程度しか無いんだよね。
googleとか無い時代に育ったんで。　もう、仕事やめて、隠居したほうが良いよ、たぶん。

>>368
勝手に世代の違いにされてはかなわん。
単にヤツが不勉強な愚か者なだけだろうが。

>>369
あ、ごめん、
言いたかったのは、そのくらいの時代の知識で独立して、勉強しないでコーディングばっかりしてる人って
意味で書きたかったんだ。謝る。

>>362
> それについては>>331のページに「1←←必要」というわからん人にとっては謎の記述が。

おお、そんなところに書いてあったのか！
・・・・ってそんなところに書かずに元ソースに書いとけって気がするがｗ
でも、「1;」を書く場所あれじゃ分からんだろ・・・・。

> そう書けと言っていないんだから、突っ込む所どころか
> 脆弱性そのものだと思うんだが……

サンプルでも普通に

> #複数登録するときは、カンマで区切って追加。
> $login_check_ip ='220.122.95.169,200.142.97.169';

とか書いてるしなぁ。

セキュリティに詳しくない俺にB型H系でうまく例えて

>>372
絶対に入れちゃダメ。
と言いながら、濡れﾏﾝフルオープン状態。
M字開脚で、ベッドに寝そべって、お前の
角度に合わせて受け入れ態勢万全。B。
でも、入れちゃダメ。
相手が入れちゃダメって言ってる以上、
いくら受け入れ態勢万全であっても、不正
挿入になるから注意。B。

＞メッセサンオーのスクリプトは2004年の物

2004年でも、GETで平文パスワードはあり得ない話だったが…

>>374

その時代より前のDNAをもった化石が、今回大量に発掘されただけです。

で結局、Google先生にURL教えたのは誰なんだろね。
やっぱりchromeかツールバーなんだろかね。またはGoogleブックマークかgmailか。

Yahoo!もbingもURL拾ってない以上、グローバルな領域に曝されてたわけでは無さそうだし。

これこそ魚拓とったんだろうな

ひさびさにノーガード戦法の極地を見た
あえて、じゃなく、せいいっぱいってところがまたかわいい

問い合わせを受けた時に自社のシステム上で顧客を捜すよりGoogle先生に
聞いた方が早いという斜め上の運用だったんじゃないだろうか

>パスワード付きのＵＲＬを一時的にもホームページで公開しないようにしてください

公開する理由あるのか？

>>380
この警告が書かれたのは、
2chで、グループウェアか何かにURLを登録して公開してたんじゃないか？　とか
書いてる人がいた頃なので、それを意識して書いたんだと思うよ。
wb-i.netは、2chはチェックしているらしい。

>>380

というか、パスワードをURLに付けないで下さい

と、一斉につっこまれている訳だがねｗ

これどこのＩＰ？

220.122.95.169,200.142.97.169

>>1
糞タレIT企業は公害。

ついでにメッセ顧客情報流失にキレて、2chで糾弾コピペ荒らしをして大規模規制の自体を招いた
一部のエロゲーマニアも糞タレ。

>>383
ブラジルと韓国のIPだが？

開発者はブラジルと韓国で作業しているのだろうか。。。

>>383

スパムがらみじゃないかね？

>>366
あんなのと一緒にするな
TPOに応じた作りが出来なきゃプロとは言えない
仮に同じアプリを外部接続でも使えるようにしたいって依頼があったらそこから商談が始まるんだし

プロｗ

>>389
言っとくけど俺はそれを生業にしてるわけじゃないからプロじゃないぞ

インベンターの人って日本語変だけどブラジルか韓国の人なのかと思った

キャッシュ機能ってこういう時危険だよな

セキュリティーを "一層" 向上させました

話中にgoogleに責任押し付けようとしてたりする含みが入ってたり
こっちが分からないと思って、難しい言葉でうやむやにしてる感じの話に
キレそうだった。
何日も前にメールしたのに返事はよこさんし。
こっちが指摘しなきゃ全然気付いてないみたいな印象。


自分達のセキュリティー状態に関しては説明一切なし。
ＵＲＬ見れば杜撰だし、古〜いの使ってるのわかってるのに。
完全にバカにしとる。

フリーダイヤルに電話かけても、電子メールで問い合わせしても、むこうに顧客対応を何件やりました
というポイントを与えるだけで、事態解決には何の役にも立たないことをいいかげん理解しろ。
さっさと手ごろな法律家に相談して、法的なアクションを起こせ。そうしなければ、だれも助けてはくれないぞ。

これから出るエロゲーのメーカーに、
「メッセは信用出来ないのでそこで買いたくない。特典を卸さないで欲しい」ってメールすればいい

訴えて賠償金貰ったとしても
訴えた人にしか支払われないなら事件の解決にも今後の為にもならないな
壊滅的な損害を与えるか、信用を失った事実を広く周知させる事の方が重要
他の業者の認識も改まらない

グーグルを規制しろ。
今まで意識なかったけど、一種の情報泥棒じゃんか。

中国がやりまくったワケだが＞グーグル規制

>>396
こういうことしかできないやつってかわいそう。何で法的に決着つけようとしないんだろうね。
組織立ってやるわけでもなし、ただのオナニーだな。

パスワード付きのURLなんて、どんな場面で使うんだろ？

>>398
それはサンポールを規制しろってくらい無理なんじゃね

>>399
日本もやらなきゃ。
検索サイトなんて、なくても困らない。

自分が買い物してるサイトがどれくらい安全かなんて全く分からんから恐ろしいな。
メジャーサイト以外避けるとかそういう消極的な方法しか取れないし、メジャーサイトは逆にクラッカーに狙われてるし。

俺が買い物してるサイトの内、ここ1、2年でクラックされたのが2か所もあるｗ

googleが悪いわけでも、無いらしい話を聴いたんだけど、それが現実的かどうか
教えてほしい。

仕組み的にはね、例えば、
www.foo.comを観てた利用者が、次に、www.bar.com を観はじめたとするじゃん。
そのとき,www.bar.com のサーバーは、ユーザーが、www.foo.comから
来たことが分かるんだと言うのよ。

例えば、www.messe.com/password=numa123 を開いていたユーザーが、
www.ero.com を開くと、www.ero.com には、以前観ていたサイト情報として、
www.messe.com/password=numa123 が送られてしまう可能性があるんだってさ。

普通のサイトなら問題ないのだけど、
アクセス解析用のサイトだったりすると、この
www.messe.com/password=numa123 を、参考情報としてweb上に公開
しちゃったりすることもあるというのだよ。

事実かどうかは、わからない。ここの詳しひとに、教えてほしい。

>>405
ググレカス

>>405
そういう技術的なことはどうでもいいわけよ。
検索サイトが、通販サイトのパスワード情報を勝手に
拾って公開した、という驚愕の事実を認識するだけでよい。
とにかく検索サイトの情報収集行為に何らかの規制をかけないと、
これからも起きるよこんなことは。

今回の事件で企業も悪いけグーグルも悪い方に入るだろうな。
これからもこういう事件が起こった時には
問題の企業と一緒でグーグルはセットになって出てくるだろうし
なんでもかんでもサイトを拾い集める凄さが逆に脅威になってるからな。

>>408
他にもグーグルは黒い噂耐えないしね

>>394

>>405
そういう「googleが悪いんじゃないもん！こういう可能性もあるんだもん！」
って言う人は前にもいたけど

・「実際に今回の事例にて」、メッセのパスつきURLが、現実に晒されていたのかどうか。
・パスつきURLを拾ったのはGoogleだけ、Yahoo!もBingも百度すらも
　それを拾った形跡がないことをどう説明するのか

という質問に答えられた人は誰もいない。

まあ普通に考えて、どういう経路かは知らんが、Googleが情報を抜いたと考えるのが一番濃厚だな。
Chromeか、Toolbarか、Bookmarkか、Gmailかはともかく。

なんだか突然インベンターの話からそれはじめてるな。

>【個人】エロDVDｼｮｯﾌﾟの顧客情報が超絶大放出！！【漏洩】
>http://ex14.2ch.net/test/read.cgi/news4vip/1142214382/

インベンターのcgiで漏洩したこの件のときは謝罪くらいしたのかな。

>>411
他の検索エンジンと検索結果が異なる事自体は特別意味を持たない
判明している事実は、サイトの当該ページが「誰でもアクセスできる状態にあった」事
というか「Googleが悪い」前提になっていて、悪くない可能性探しの流れであるかのような
言い方があからさまにおかしすぎるんだけど？

>>412
関連サイトだけど、それはうちじゃない、と言うんじゃない？

http://wb-i.net/law.HTML
販売業者名：
　WEBインベンター (ウエブ・インベンター/web発明家)
住所：
　〒310-0022　茨城県水戸市梅香1-2-25-204
運営責任者名：
　丹澤　崇文

http://www.mobile-inventor.com/index_contacts.html
販売業者名：
　MOBILE-INVENTOR.COM(モバイルインベンタードットコム)
所在地：
　〒310-0902　茨城県水戸市渡里町3268-61 207
代表者名：
　大森　宏章

そもそもセッション管理していなから、ページ移動するたびに認証情報も一緒に
送らないとダメ。かといってPOSTで送るにはフォームを使わないといけないし、
JavaScriptで自動でフォーム送信するなんて知識もないから、GETでパスワードを
引き回した。。。ってとこかな。

そもそもURLなんていろんな中継サーバーのログに残るわけだし、ってことはいろんな
とろこにパスワードをばらまいているのと同じ。プログラムの知識もなければ、
ネットワークの知識もない。そんな人がネット向けシステム作っちゃだめだって。