mala

あんまり(変な絡まれ方したくないので)言及したくなかったんだけど漏えいによって意図せずに公開されてしまった個人情報について取得だけでも違法であるかのように漏洩元企業が広報するケースを連続してみかけた。特にドワンゴ(not KADOKAWA)のケースはPPCのQAを参照しているのであからさまにおかしい

253K

mala

@bulkneets

Jul 4, 2019

出社しました。現場で必死になって対応している人たちがいるんですよ、稼働中のサービスの脆弱性を公表するなんて、、、信じられないです、、、。。。良識を疑いますね。

mala

@bulkneets

Jun 21, 2020

あの人は言ってることは正論だけど(言い方が|性格が|人格が)悪いみたいな補正を掛けるのいい加減にやめろ、言っていることも度々おかしい

mala

@bulkneets

Jun 23, 2024

ランサムウェアの身代金を払って復号キーが提供されなかったら信用落とすから、犯罪者側も信用第一で提供にメリットがあって交渉になりうるだろうけど、漏えいデータを削除したり暴露しないなんてのは、証明しようがないのだから、金払ったところで漏えいしてることに変わりないし本来交渉にならんよね

Replying to

7payアプリでは「東京都」など都道府県しか表示されないが、内部的なAPIレスポンスではオムニ7に登録しているフルの住所、画面上には無い電話番号も返している。またオムニ7のサイトではログイン履歴を確認できる機能があるが7payアプリのログイン履歴は記録されない(住所電話抜かれても気付けない)

mala

@bulkneets

Dec 14, 2024

昔はよく週一出社(月曜に来て金曜に帰る)してて住むなと怒られた

Yahoo掲示板の終了によってS級妖怪が自由にインターネットに出入りできるようになる

mala

@bulkneets

Feb 16, 2017

世界の諜報機関がメンヘラ自己承認不思議ちゃんガールを便利な鉄砲玉に仕立て上げることの利点に気づいたのだとしたらどうだろう。虐殺のメロディが聞こえてこないかい？

Smoozサービス終了に寄せて

7payで登録、セブンイレブンアプリで表示可能な住所は都道府県のみですけど、オムニ7の利用者だったらフルの住所が登録されているし、アカチャンホンポがグループにある関係で子供の氏名、生年月日も登録されているし購入履歴も参照できる

mala

@bulkneets

May 10, 2023

江添さんが納得して発言を削除したならそれはそれで構わないが、ドワンゴの栗田は許せない。ドワンゴだけの問題ではない。所属組織に文句を言えば気に食わない個人を黙らせることができると、そのような風潮を助長することになるから。

サイゼリヤはすでにmicroservicesに舵を切っている

Quote

mala

@bulkneets

May 12, 2019

microservices

mala

@bulkneets

Jul 20, 2021

世の中はどんどんおかしくなっていますが皆さん正気を保てていますか。睡眠、運動、瞑想、野菜、こまめな水分補給、冷房ケチらない、インターネット見過ぎないことが大事です

mala

@bulkneets

Jul 4, 2019

とにかくやばいときは躊躇せずにメンテいれるべきだし「あのときメンテを入れておけば」って後悔している事例もたくさん知っている。やばいときはメンテ入れろ、あと、インフルエンザのときは会社休め。

mala

@bulkneets

Aug 5, 2020

転職活動は継続しています。大切なお知らせですが1200万〜って書いてるところに本当に1200万でオファーしてくるんじゃない、舐めるなもっと高いわせめてウチは貧乏ですが仕事面白いです安くてスイマセンとか書いてくれ

mala

@bulkneets

Apr 16, 2019

マンガワンのチートの件、書いといたほうが良いと思うので書くけど、違法か適法かと言ったら自分も違法だろうと答えるだろうし、それはわかった上で犯罪(有罪)とされるべきではないという立場で、何がダメって言うと技術で防ぐことと法で防ぐことのバランスが決壊していることを嘆いているわけ。

mala

@bulkneets

Aug 17, 2023

pictBLandの会社(GMW社)、実際の改ざんや漏えいの経路は情報が無いので把握してないけれど全般的に保守期限がとっくの昔に切れたバージョンのフレームワークで長年の運用や新規サービス公開してるように見えるので大丈夫なんですかという問い合わせ送った。ソルト無しMD5よりも技術選定の方がまず問題

Replying to

デンソーウェーブ公式を名乗るQRコードリーダーが、隠し機能を有効にしたQRコードを読み取るとGPS位置情報を送信している。パーミッション取得時には地図QRコード読取りと作成のためと虚偽説明。アプリ側のプライバシーポリシーには一切の記述なし。(これでプライバシーマーク取得企業)

mala

@bulkneets

Jan 8, 2021

プログラミング自体は小学生からやってたけどインターネット以後で何より大切だったのは作ったものを自慢したり褒めてくれたりする友達で、それなしでどう学習すればいいのかわからない。あと、とほほのWWW入門って便利なサイトがあって、友達とは疎遠になっても、とほほさんはいつまでもそばにいます

mala

@bulkneets

Dec 15, 2024

出社ルール変更なんて不満として外に漏れるケースを除いたとて社外秘に保ちようがないんだから(人生設計、家族に相談、転職活動採用活動での説明)情報管理の区分自体が間違ってるし守れないようなルールは形骸化してハラスメントの道具にしかならんのでやめて欲しい(これは出社ルールと守秘義務両方)

Replying to

「霊的素養が無い人からすると見えないものは見えないし、ちょっと集中したり訓練すれば見えるってことが理解されてない、人によっちゃ存在自体信じてなかったりする。明らかに霊障なのに勝手に壊れたとか言ってるのよくあるじゃん。彼らにしたらこの話自体、ジョークとか例え話だと思っちゃうんだよ」

mala

@bulkneets

Apr 25, 2023

少し真面目な話をつらつら書くけど、Google Authenticatorがクラウド同期対応の公式の記事に security.googleblog.com/2023/04/google "making one time codes more durable by storing them safely in users’ Google Account" とあるが何ら性質についての説明もなく safely などと言っていてユーザーを舐め腐っている

security.googleblog.com

Google Authenticator now supports Google Account synchronization

Christiaan Brand, Group Product Manager We are excited to announce an update to Google Authenticator , across both iOS and Android, which a...

一人ひとりの皆さんが人生という本番環境でやらかし続けているんですよ

mala

@bulkneets

Jun 24, 2024

よりにもよってデジタル庁から出てる税金で作られた公共性が高く安全性が大事で国民による監査検証の目が避けられぬであろうアプリにリバースエンジニアリング禁止条項など万が一にもあるわけがないという気持ちでやっていきます

このTweetのRTがまだ伸びているのですが、デマです。

Quote

渡辺ヤマト| DGDV@VCをアップデートする

@yamato_dgdv

Mar 25, 2021

そうそう、この経緯は忘れられてるけど、LINEを開発したチーム自体は、当時NHN傘下にはあったもののほとんどが旧ライブドア社のエンジニア達。ライブドアが傾いて買収されたので、開発/マーケティングの資金にはハンゲームで儲かった金を充ててたけど、LINEというアプリの開発自体は純国産なんだよね。 x.com/masanork/statu…

mala

@bulkneets

Jan 11, 2023

CVE-2022-23529は偽脆弱性で売名行為。paloaltoは恥を知るべき。Auth0はCVEをrejectすべき。 unit42.paloaltonetworks.com/jsonwebtoken-v unit42.paloaltonetworks.jp/jsonwebtoken-v verifyに外部から任意のJWTや検証用の公開鍵/秘密鍵が渡ってもtoStringの上書きは通常発生し得ない。深刻度は高いどころか無いしRCEと呼ぶべきものでない

unit42.paloaltonetworks.com

[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題

広く利用されているオープンソースプロジェクトJsonWebToken (JWT)に見つかった深刻度「高」の脆弱性、CVE-2022-23529を解説します。本脆弱性が悪用された場合、RCE (リモートコード実行) の可能性があります。

Replying to

あと勝手に脆弱性調べること自体を問題視するようなセキュリティ関係者がたまにいるんだけどマジで業界腐ってんなって感じ。自分のアカウント間で検証つってんのに、意図しない使い方は全部違法、規約違反、みたいな。バカクライアント企業の言いなりか。あと仕事じゃねえから x.com/raysato/status

mala

@bulkneets

Feb 10

Next.js の脆弱性 CVE-2024-46982 の発見者による解説が公開されているので注意喚起を書きます。Next.jsから発表されているアドバイザリは不正確なものです。 github.com/vercel/next.js 特にConfidentiality:Noneと評価している点は誤りで、典型的に情報漏洩やXSS脆弱性を引き起こします。

Quote

zhero;

@zhero___

Jan 22

very pleased to announce the release of my new article based on my research that led to CVE-2024-46982 titled: Next.js, cache, and chains: the stale elixir zhero-web-sec.github.io/research-and-t note: does not cover the latest findings shared in my recent posts enjoy reading;

デジタル庁にnote使ってるせいで .digital.go.jp にFacebookピクセルのcookieがセットされてサブドメイン全部に送られるという問い合わせした digital.go.jp/site-policy "Cookie 本ウェブサイトでは2021年4月27日現在、Cookieを使用しておりません。"

digital.go.jp

サイトポリシー｜デジタル庁

デジタル庁は、デジタル社会形成の司令塔として、未来志向のDX（デジタル・トランスフォーメーション）を大胆に推進し、デジタル時代の官民のインフラを一気呵成に作り上げることを目指します。