Embed Notice

HTML Code

<blockquote style="position: relative; padding-left: 55px;"><section><a href="https://mastodon.tokyo/users/h12o/statuses/111539839896824346">h12o (h12o@mastodon.tokyo)'s status on Friday, 08-Dec-2023 00:44:10 JST</a><a href="https://mastodon.tokyo/@h12o" title="h12o@mastodon.tokyo"><img src="https://gnusocial.jp/avatar/32785-48-20231107021648.webp" width="48" height="48" alt="h12o" style="position: absolute; left: 0; top: 0;">h12o</a><div><a href="https://momo.mame.moe/@mamemomonga/111539780799524323" rel="in-reply-to">in reply to</a><ul><li></ul></div></section><article><p><a href="https://momo.mame.moe/@mamemomonga">@mamemomonga</a> とおっしゃるのはこのへんを元にしていますでしょうか?</p><p>&gt;&gt;<br>アクセス可能だった時期と情報、影響囲の推定値は下記の通り。ただし、いずれも実際に情報が漏えいした事実は確認できなかったとしている。<br>&lt;&lt;</p><p>&gt;&gt;<br>「SSL/TLS（データを暗号化して送受信する仕組み）を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスのAPIへのリクエストを組み立てるための知識」があれば、データベースに不正にアクセスできる状態だった<br>&lt;&lt;<br><a href="https://www.itmedia.co.jp/news/articles/2312/07/news174.html" rel="nofollow noreferrer">https://www.itmedia.co.jp/news/articles/2312/07/news174.html</a></p><p>「APIの認証がかかってなかった」とまでは言い切れないように思います。「SSL/TLSを利用したモバイルアプリの通信を傍受し解析する知識」があれば、認証情報ごと傍受し解析することができます。認証情報がアプリにハードコードされていたのだとしたら認証があるようでないに等しいので「APIの仕様がわかればいくらでもデータがぶっこぬけた」と言えます。（つづく）</p></article><footer><a rel="bookmark" href="https://gnusocial.jp/conversation/2425393#notice-4794504">In conversation</a><time datetime="2023-12-08T00:44:10+09:00" title="Friday, 08-Dec-2023 00:44:10 JST">about a year ago</time> <span>from <span><a href="https://mastodon.tokyo/@h12o/111539839896824346" rel="external" title="Sent from mastodon.tokyo via ActivityPub">mastodon.tokyo</a></span></span><a href="https://mastodon.tokyo/@h12o/111539839896824346">permalink</a><h4>Attachments</h4><ol><li><article><header><div>Domain not in remote thumbnail source whitelist: image.itmedia.co.jp</div><h5><a href="https://www.itmedia.co.jp/news/articles/2312/07/news174.html">「200万人以上の情報が丸見え」報道の位置情報アプリ「NauNau」、調査結果を発表　300万人以上の現在地などが丸見えだった</a></h5><div> from <span>@itmedia_news</span></div></header><div>200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、提供元による調査が進んでいた位置情報アプリ「NauNau」。提供元のSuishow（東京都品川区）と親会社のモバイルファクトリー（同品川区）が、実際に外部から不正に閲覧可能な状態だった情報を公開した。</div><footer></footer></article></li></ol></footer></blockquote>

Corresponding Notice

Embed this notice
h12o (h12o@mastodon.tokyo)'s status on Friday, 08-Dec-2023 00:44:10 JSTh12o
in reply to
- まめも
@mamemomonga とおっしゃるのはこのへんを元にしていますでしょうか?
>>
アクセス可能だった時期と情報、影響囲の推定値は下記の通り。ただし、いずれも実際に情報が漏えいした事実は確認できなかったとしている。
<<
>>
「SSL/TLS（データを暗号化して送受信する仕組み）を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスのAPIへのリクエストを組み立てるための知識」があれば、データベースに不正にアクセスできる状態だった
<<
https://www.itmedia.co.jp/news/articles/2312/07/news174.html
「APIの認証がかかってなかった」とまでは言い切れないように思います。「SSL/TLSを利用したモバイルアプリの通信を傍受し解析する知識」があれば、認証情報ごと傍受し解析することができます。認証情報がアプリにハードコードされていたのだとしたら認証があるようでないに等しいので「APIの仕様がわかればいくらでもデータがぶっこぬけた」と言えます。（つづく）
In conversationabout a year ago from mastodon.tokyopermalink
Attachments
1. Domain not in remote thumbnail source whitelist: image.itmedia.co.jp
  「200万人以上の情報が丸見え」報道の位置情報アプリ「NauNau」、調査結果を発表　300万人以上の現在地などが丸見えだった
  from @itmedia_news
  200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、提供元による調査が進んでいた位置情報アプリ「NauNau」。提供元のSuishow（東京都品川区）と親会社のモバイルファクトリー（同品川区）が、実際に外部から不正に閲覧可能な状態だった情報を公開した。

Public

Embed Notice

HTML Code

Corresponding Notice