「PixivのシステムによるユーザID漏洩について」

トゥギャッターまとめ方講座（裏技含む）

IT・Web サイト制作
new 5 hours ago

PixivのシステムによるユーザID漏洩について

by hoge_20
tag pixiv セキュリティタグを編集

参考資料
・pixivでのユーザID(ログイン用ID)の表示について画像での解説
http://twitpic.com/62p9kc

・pixivでアカウントハック横行　乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント
http://blog.livedoor.jp/goldennews/archives/51436167.html

31 fav 5110 view

まとめ

メニューを開く

一括削除

pixiv上の作品を画像をクリックして開きソース表示すると　<img src="http://img02.pixiv.net/img/●●/[作品No].jpg" border="0">　の●●に投稿者のIDが表示されるみたいなんですが…

返信する RTするふぁぼる

shimaharuki 2011/08/08 07:20:43
@shimaharuki ピクシブまたやったの… ［誕生日だよ］

返信する RTするふぁぼる

poyonmax 2011/08/08 07:21:56
@poyonmax またやったというか今までの仕様だとずっとこうだったらしいの　知らなかったよ

返信する RTするふぁぼる

shimaharuki 2011/08/08 07:22:49
先ほどのIDというのはアカウント名ではなくてログインIDなので　居ないとは思うけど個人情報に関わる本名などをログイン時のIDにしてアカウント作っちゃっててる人は特に注意して下さい

返信する RTするふぁぼる

shimaharuki 2011/08/08 07:27:42
pixivの画像ページソースでIDの確認が出来るな。パスワードのロックもねぇ。馬鹿じゃねぇのこの運営。

返信する RTするふぁぼる

q4500 2011/08/08 07:42:58
画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫？ #pixiv

返信する RTするふぁぼる

q4500 2011/08/08 07:46:15
今思ったが　ログインID丸見えで後はPWをブルートフォースアタックなり何なりで割り出されるとアカウントハックされちゃうんだけど　作品は消したもののプロフィールも弄れるんだな…だとすると年齢やら何やら正直に入れちゃってる人はまた漏れる危険が

返信する RTするふぁぼる

shimaharuki 2011/08/08 07:46:52
pixiv、過去にアカウントハックやらかしてんのか。 pixivでアカウントハック横行　乗っ取られた垢がランキング入の腐向け絵に大量の中傷コメント http://t.co/C16o2gA

返信する RTするふぁぼる

q4500 2011/08/08 07:47:39
なおpixivにはブルートフォースアタックを抑制するような　複数回ログインに失敗するとアクセス遅延・凍結のような仕組みはどうやら無いみたいです

返信する RTするふぁぼる

shimaharuki 2011/08/08 07:50:42
ドンドン拡散してね！画像ページ内、ピクシブブログなどでログイン用IDが丸見え過去運営に問い合わせた人も居るけど、対応どころか返信も無しログイン時にパスワード何回間違えてもロックが掛からないのでパスワード探しもやり放題あなたのアカウントは大丈夫？ #pixiv

返信する RTするふぁぼる

q4500 2011/08/08 07:54:33
今GPGPUでパス解析できるらしいな。pixivやばくねぇの？

返信する RTするふぁぼる

q4500 2011/08/08 07:56:10
@q4500 垢ハックとかid丸見えとかかーなり初期から色んな問題点山盛りで散々叩かれてた記憶がありましたが、結局なにも改善してないとかそういうの多すぎですよねpixiv

返信する RTするふぁぼる

kanidon 2011/08/08 07:56:45
pixivに投稿された画像からユーザIDがわかります　またpixivはパスロック等の処置がないため力技でパスワードがハックされる可能性があります　pixivのユーザIDに本名等を使用されている方は特にご注意ください　まぁ以前から知られていたことだけど #pixiv

返信する RTするふぁぼる

ChieTheEroglass 2011/08/08 07:57:03
通常3回でパスロックされるのが個人情報を尊重するサイト。あれー？おかしいねぇー。絵師の個人情報大事にしているpixivサンはなんでロックしないのー？

返信する RTするふぁぼる

q4500 2011/08/08 08:00:09
@q4500 ユルめの場所でも5回も失敗したら一時ロック掛かる所が殆どですよねぇー(パス変更したの忘れててロック掛かりつつ)

返信する RTするふぁぼる

kanidon 2011/08/08 08:05:01
[まとめ]Pixiv内作品ページの画像ソースにログインIDが記されており　後はパスワードを割り出されるとアカウントを乗っ取られます　ログインID及びアカウントの非公開プロフに個人情報入れてる人は注意して下さい　またパスワード総当たり攻撃への対策はされてないっぽいです

返信する RTするふぁぼる

shimaharuki 2011/08/08 08:10:04
別に俺が第一発見者じゃないんだろうけど、他人のアカウントが丸見えってのは、確かかなり初期のpixivスレで俺が指摘してたと思う。別に第一発見者じゃないけど（2回言った）

返信する RTするふぁぼる

vjoe 2011/08/08 08:11:42
@vjoe その後も色んな人が指摘し続けたけど放置されてたようで

返信する RTするふぁぼる

shimaharuki 2011/08/08 08:14:59
あーあ、ハッカーが気付いたらどうすんだー（棒。パスロックないいんじゃーぶるーとふぉーすされちゃうぞおー。#pixiv

返信する RTするふぁぼる

q4500 2011/08/08 08:23:49
セキュリティに問題があって、個人の信用失墜に利用できる可能性は、これもかなり初期にmixiの日記内で書いてます。まだそのままだったんだ…。多分、他の悪用できると気づいた仕様も残ってるな…。うっうー！ζ(´▽｀)ζ

返信する RTするふぁぼる

KENXY 2011/08/08 08:28:31
@KENXY パスロックないんでその手の技術を持った悪意あるユーザーから見たらpixivはいい遊び場でしょうね。最近はPCも高速ですからねぇ。総当りでそんなに時間かからないかもしれないですね。

返信する RTするふぁぼる

q4500 2011/08/08 08:32:07
@q4500 @KENXY 暇なクラッカーが一人やってきたら完全死亡する状態ですよね、そんなひどい事する人は居ないと思いますけどね、おそらく、たぶん、まぁちょっとは覚悟しておけ

返信する RTするふぁぼる

kanidon 2011/08/08 08:35:47
ボクが気づいてる仕様の欠陥合わせると、パスがわかった時点でそのユーザーの信用を落とす以上に、運営の信用をガタガタに出来るから致命的なんですけどねー、まして今の状況だと。あらぬ疑いをかけられるのも嫌だから、リスク犯して運営さんに説明する気は無いですが。うっうー！ζ(´▽｀)ζ

返信する RTするふぁぼる

KENXY 2011/08/08 08:36:20
みんなも知ってることと思うけど一応呟いておくとこのことは1年以上前というか当初から指摘のあったことで　僕が言い出したことではないしましてや僕がセキュリティホール作ったわけでもないのであしからず

返信する RTするふぁぼる

shimaharuki 2011/08/08 08:36:38
性善説で運営するのは、狼の居る森で防護策なしで羊飼っている様なものですからねー。飼い主によほど強い宗教観があるのか、お伽話に出てくる馬鹿か、どちらかですかねー。どんな御託も御宣託も狼に晒される羊には良い迷惑だけど。うっうー！ζ(´▽｀)ζ

返信する RTするふぁぼる

KENXY 2011/08/08 08:41:09
Content from Twitter

残りを読む(52)

Check

iframe版拡張版 new 張付けプレビュー

お気に入りに追加

いいね！して限定のいいねランキングをチェック

これまで幾度も問題視されながら大規模な騒動に発展しなかった理由が「日本だったから」くらいしか見当たらないね。アノニマスクラスでなくとも暇なクラッカー一人いたらまずまともな運営は不可能になってた筈。

CantenFox 3 hours ago
パス解析するなら、ハッシュ値を手に入れないとできません。もっとも、サーバ側でハッシュ化されてるかどうかは不明です。ログインIDが大量にわかっている場合には、「逆ブルートフォース」ができます。全IDで、IDと同じパスワードとか、"password"とかを試す行為です。これにはアカウントロックは通用しません。

flat_ff 1 hour ago
えっ、ログインIDってそもそもスタックフィードのページのURLがそうじゃなかったっけ

alice_alias 54 minutes ago
pixivはことごとく反面教師の道を進んでるな。運営だけでなくシステムもダメだったなんてな（棒読み）

pullphone 21 minutes ago
データベースからの流出じゃあるまいしハッシュ値とか何を言っているんだ

0xbadfca11 18 minutes ago
俺が知ってる「漏洩」という日本語の意味は、もともと公開されてるものを「画像のソースでID見つけた（ｷﾘｯ」って大騒ぎすることじゃないんだけど。そのエネルギーでパスロック実装しろって署名運動でもやればいいんじゃないかな。

glayash 11 minutes ago

コメントする

みんなのおすすめ商品

商品を編集

ネット炎上であなたの会社が潰れる!―ウェブ上の攻撃から身を守る危機管理バイブル

伊地知晋一

YawChang

おすすめ商品未設定

設定を変更する

「サイト制作」のカテゴリーにまとめを作成してみませんか？

広告のお問い合わせ

プロフィール

まだ自己紹介が設定されていません。

hoge_20 twitter rss

マイタグ: カオスラウンジ

このユーザの更新状況や活動をチェック！

フォローしている

フォローされている

まとめ

お気に入り

@togetter_jp Follow @togetter_jp

トゥギャッターからのお知らせ

注目のまとめリスト

	きさらぎ駅・検証してもらったよ
	松田直樹選手の死因を被ばくにしたい人たち
	海外ニートさんblog閉鎖？騒動
	空の境界の元ネタの一つになった北海道C市にある円形マンショ..
	pixiv片桐社長、アゴラ記事に「"ただ水に濡らしただけ”の作品..
	週刊現代で連載中被災地を食い物にしてる日垣隆氏 @hga02104 ..

広告のお問い合わせ

最近追加された商品

	茶道
	ネット炎上であなたの会社が潰れる!―ウェブ上の攻撃から身を守る危機管理バイブル
	民族幻想論―あいまいな民族つくられた人種
	寒河江伝説 (ジョイ・ノベルス)
	Webサービス完全構築ガイド - XML、SOAP、UDDI、WSDLによる先進Webシステムの..
	Webサービスプラットフォームアーキテクチャ