OpenSSLの脆弱性「Heartbleed」を受け、Google、Facebookなどがパスワードの変更を呼びかけ

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧 : ギズモード・ジャパン
http://www.gizmodo.jp/2014/04/googlefacebookheartbleed.html

めんどくせえええええええええええ
パスワード制作のロジック変えないとじゃねーか

第三者に覗かれてたってこと？

やっぱGmailもパスワード変えないとイカんのか
面倒くさいなーもー

証明書もAUTOなんじゃね

>>3
今週バグが公表されたからなあ
まあ元からの仕様なんだろうけど

ワンタイムパスワード入れてるから余裕だよな？

二段階認証じゃあかんの

>>7
ワンタイムは最強の一角だけど使えるところがネトゲくらいという

大規模な被害だな

ちょうど1pass買ったから1から作り直してる

何個パスワードあると思ってんだよ・・・

>>9
ワンタイムトークンって知ってるか？

全サイトのパス変更した方がいいってことだろこれ

久々にGoogleのアカウント情報入ったら2段階認証を使えって出てきたから有効にしたわ

国内の金融機関はよ？

GoogleだのFaceBookなんざ同じ適当なパスワード使ってるからどうでもいいんだよ

https://lastpass.com/heartbleed/
ここでチェックできるから不安な奴は自分の使うサイト調べとけ

>>17
Site: web.ib.mizuhobank.co.jp
Server software: IBM_HTTP_Server
Was vulnerable: Possibly (might use OpenSSL, but we can't tell)
SSL Certificate: Possibly Unsafe (created 8 months ago at Aug 2 00:00:00 2013 GMT)
Assessment: It's not clear if it was vulnerable so wait for the company to say something publicly, if you used the same password on any other sites, update it now.

おいいい！？

今Gmailのパスワード変更しろってこと？
もう対策はできたの？

Android本体でのアカウント設定変更って出来んかったのね…
しかもログインしてもどこで変更するんだか見つけられなくて、悩んで
思いっ切り時間食っちまったわ

Gmailは夕方頃に携帯使った認証してくれっていわれたな

Site: www.amazon.co.jp
Server software: Server
Was vulnerable: Possibly (might use OpenSSL, but we can't tell)
SSL Certificate: Possibly Unsafe (created 2 months ago at Feb 21 00:00:00 2014 GMT)
Assessment: It's not clear if it was vulnerable so wait for the company to say something publicly, if you used the same password on any other sites, update it now.

ん？？？

>>22
Site: www.amazon.com
Server software: Server
Was vulnerable: No
SSL Certificate: Safe (regenerated 1 month ago)
Assessment: This server was not vulnerable, no need to change your password unless you have used it on any other site!

日本は未対処ｗｗｗ
ジャアアアアアアアアアアアアアアアアアアアアアアアアプッ！！！！１１

設定状況や信頼性がすぐにわかる！SSLチェックツール
ttps://sslcheck.globalsign.com/ja

gmailってスマホ使いも何かしないとダメなのかい

パスワード変更しても意味無いじゃんwww
日本企業はまったく告知してないしwww
修正する気ないんじゃないwww

>>26
多分何が起きてるか理解していない、というか下手すると「何かコトが起きてるかなんて知らない」可能性すらある

早くても週単位は覚悟しといた方がいいと思われる

Googleまだ二段階認証にしてない奴がいたのか

OpenSSLを使わなきゃいいじゃん？？？

Site:direct.smbc.co.jp
Server software:Not reported
Was vulnerable:Possibly (might use OpenSSL, but we can't tell)
SSL Certificate:Possibly Unsafe (created 11 months ago at May 1 00:00:00 2013 GMT)
Assessment:It's not clear if it was vulnerable so wait for the company to say something publicly, if you used the same password on any other sites, update it now.

めんどくせー死ねよ

あーこれか
Googleにログインしようとしたら携帯の番号を入れろとか言ってきたのは

>>32
それはすごい前から

gmailはopenssl使ってなかったんじゃないの？！
影響を受けないと聞いていたのに

これ勝手に預金引き出されたり
カードで買い物されたりするの？

通信状態はいつも通り安全だったんだろ
クライアントかサーバ側に侵入されてない限り影響なくね？

Goobleサービスの多くでOpenSSLを使っていたそうだ（そりゃ使うわな）

http://googleonlinesecurity.blogspot.jp/2014/04/google-services-updated-to-address.html
Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)
Wednesday, April 9, 2014 9:58 AM
Posted by Matthew O'Connor, Product Manager

> You may have heard of “Heartbleed,” a flaw in OpenSSL that could allow the
> theft of data normally protected by SSL/TLS encryption. We’ve assessed this
> vulnerability and applied patches to key Google services such as Search, Gmail,
> YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps
> Engine and Earth. Google Chrome and Chrome OS are not affected. We are still
> working to patch some other Google services. We regularly and proactively look
> for vulnerabilities like this -- and encourage others to report them -- so that
> that we can fix software flaws before they are exploited.

"Heartbleed Bug"の解説
http://heartbleed.com/

IPAによる注意喚起
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
更新：OpenSSL の脆弱性対策について(CVE-2014-0160)

脆弱性のあるOpenSSLサーバと通信する際には、クライアント・サーバ双方のメモリ内容と通信内容が第三者に丸見えになる可能性がある
従って、SSLで保護されたページで行っていた通信にID、パスワードが含まれていた場合には盗まれていた可能性がある
現在悪用されていないとしても早急にパスワード変更をすることが望ましい

脆弱性が存在したのはOpenSSL 1.0.1 (2012/3/14)以後
修正されたのは2014/04/07リリースのバージョン

パッチ適用後もサーバ側ではサーバ証明書の秘密鍵が漏洩している恐れがあるため証明書の更新が必要
クライアント側で証明書認証をしていることは少ないだろうからクライアント側の対策は特になし

>>33
ずっとログインしてるのに
昨日急にまた要求してきたんだぜ
俺もえっ？ってなったわ

もう遅いだろこれ

重要なサービスではみんなOTNP入れてるよね

>>39
たまにしかログインしないからわからんけど、今何も言われなかった
とりあえず、それなりに使ってる垢だけパスかえた
捨てアドはどうでもええわ

https://www.paypal-community.com/t5/PayPal-Forward/OpenSSL-Heartbleed-Bug-PayPal-Account-Holders-are-Secure/ba-p/797568#

俺たちのPaypalは安全だったようでとりあえず助かった
もっと日本でもPaypal使えるようになればいいのに

鍵まで変えたか分からんのにパスワードだけ先に変えても意味ないだろ

2年も前から開いてた「穴」で情報盗まれた跡も残らんから何度でも攻撃を繰り返せたし
だから場合によっちゃあ相当量の情報が盗み出された可能性が高いと思うんだが

根気よく攻撃続けてPKIの秘密鍵でも運良く入手できりゃSSLのPSKによる暗号化なんで簡単に無力化できちゃうわけだから
あとはターゲットのサイトのパケットを監視してそれを片っ端から復号して中身丸見えの状態にしてやりゃ
一般利用者がログイン画面で入力するIDやパスワード、ショッピングサイトで入力するカード番号やらもう何でも盗み放題だろ

なのに、なぜか日本じゃ全くといっていいほど話題になってないんだから
まぁこれが日本が誇る「IT技術」ってやつの”実状”なんだろな・・・まったくお笑い草だわｗ

泥ユーザー脂肪

ついにキーパスダウンロードするときがきたか

SSLに対応せず平文でパスワードやりとりしてれば関係ない
ノーガード戦法最強伝説

オープンソースでも誰も気づかないもんなんだなぁ

みずほがだめとかどうしたらいいんだよ
しかも修正してくれないと、パスワード変えてもむだとか
もうなんもできないじゃん

>>50
新しいパスワードを郵送してもらえ

>>44
以下のリストのサイトはすでに修正対応済みなので

ネット上のアカウントはできるだけ少ない方が良さそうだな
流出やらﾊｯｷﾝｸﾞやらで管理不能になる

お使いの Microsoft アカウント *******@hotmail.co.jp への最近のサインインに関して、
不審な点が見られました。お客様の安全のために、お客様ご本人であることを改めて確認させていただく必要があります。
サインイン情報:
国/地域: イタリア
IP アドレス: 95.110.145.141
日時:?2014/04/13 17:05 (JST)
お客様がこれを実行した場合は、このメールを無視しても問題ありません。
お客様がこれを実行した覚えがない場合、悪意のあるユーザーがお客様のパスワードを使っている可能性があります。
最近のアクティビティをご確認のうえ、手順に従って必要な対策を講じてください。

MSにもきていたあああ。
尼券貰う専用アドなんだが・・

>>54
うわああああああああ

いやあああああああああああああ

めんどくせえええええええええええ

LastPassが同一パスワードで警告してきだしてウゼェ・・・

誰のせい？

>>59
おまえのせいだろデブ

https://www.ssllabs.com/ssltest/でドメインをチェックしろ
アマゾンならamazon.co.jp、住信SBIならnetbk.co.jpだ
住信SBIはA-と表示されるがりそな銀行(resona-gr.co.jp)はFと表示されるからw

こんなの99.9％の人に関係ないよ

そういやgmxでも、不審なアクセスがあって、みたいなアラート出てたな
脆弱性なしと出てて安心してたが、やばかったのか

これ大問題なのに全然スレが伸びていないな

>>54
こっわ

先週からGoogleアカウントに接続出来ないんだが

とりあえずタンブラーとウィキペディアとグーグルだけ変更しといた

Amazonで買い物しようとするとKindle使ってても使用履歴のない端末だから電話番号入力してってメッセージが出るのもこれの関連だよな？

面倒にもほどがある

専門板でスレ立ってなくね？

もうパスワードはダメだろ
生体認証だかなんだかに全部変えたほうがいいんじゃね？

これでウェブ鯖の秘密鍵を盗めたとして、そのあとどうすんのよ？
他人のパスワードやカード番号が入ったオイシイパケットを
キャプチャーするには、プロバイダーに進入するか、
海底ケーブルまで針刺しに行かなきゃならないよね？

にわかハッカーが報道みて攻撃祭りしてんだろ？

本当の恐怖はこれからだ！

結局Googleもかくそったれめええ

おまえらタダだからってアホみたいに登録するからだろ池沼