729万件情報漏えい可能性の「快活CLUB」 パスワード「平文で」SMS送信が波紋→運営「復元不可能な状態で保管」
コメントを書く
プロフィール設定(自分のコメント)
コメント84件
- おすすめ順
- 新着順
このコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
かなり昔だけど、設定したパスワードがハガキに書かれて送られてきたことあったなあ もうなくなってしまった電子マネーだけど名前忘れた まあ、よく使われたパスワードとかいう記事もあるから 平文とまではいかなくても可逆な形で保存してるのは多いんだろうな
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
そもそもパスワードは平文だろうと暗号だろうと外に出した時点で漏洩・盗聴のリスクとなるのが今の時代。だからパスキーを始めとしたパスワードレス認証をスタンダードにしようという動きに向かっている。 パスキーにも仕組自体が複雑だったりスマホ等の機器が必須である等の課題はあるが、攻撃手法が高度化・多様化してきている現状ではサービス提供側もユーザー側も自衛の為の対策を施さないといけないね。
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
俺の乏しい知識だと、パスワードの保管ってハッシュ値のようなものじゃないの? ユーザーがパスワードを入れて、その文字列を足したり引いたり書けたり置き換えたりして、長〜い英数字の羅列にしたものが一致するかどうか…じゃなかったかなぁ。 復元不可能とは、長い英数字の羅列から逆算して短いパスワードを見つけ出すのが「事実上、無理!」ということだし、パスワード忘れましたと問われて「あなたのパスワードはこれです」って快活クラブのサーバが出せるわけない。 平文で会員番号とパスワードが送られたという話は、どういう原理でそれが可能なのかな。 この話自体がウソなの?
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
AOKIホールディングスの収益柱に成長した快活ですがユーザー目線では不満を感じる点は多いですね。 防音個室が売りですが音漏れは多々あるし、基本ヘッドフォンは常備されてない。そして基本料金のわりにスタッフの質はバイトだなぁ〜のレベル。細い店内廊下ですれ違う時、横にズレてくれるスタッフさんはほぼいない。なによりリクライニングがでかくて使いにくい。
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
不安を煽るようで申し訳ないが、復元不可能な状態で保存していたとしても、ハッシュ化の方法によっては弱いパスワードは辞書アタックとGPUのマンパワーで簡単にバレてしまう。 ここ数年でもSHA-256にソルトを混ぜたハッシュ方式でも「password+数字」みたいな弱いやつは数時間で漏洩している事例もある。最低でもパスキーや二段階認証を導入する等して自衛すべき。
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
快活CLUBは、AOKIが母体。 AOKIの最近の業績は快活CLUBの成功が大きい。パスワードが平文で送られてくるなんて、大きな企業なのに、セキュリティがアナログ状態の可能性あるな。
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
たまにパスワード平文保存してるサービスまだあるよ。パスワード忘れたボタン押すとパスワードの頭の何文字かがヒントとして送られてくるサイトとかもダウト。マジで一定規模以上のWebシステム作るのはセキュリティの資格必要にしたほうがいいと思うよ
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
こういう問題時に仕様策定時のセンシティブな部分の漏れについては発注側(あなたたち)に問題があるので簡単にベンダーがどうのとか表立って言わない方が良いよ 素直に自分たちの認識が甘かったので見直してシステム発注をしますくらいじゃないと、分かってる人には、あぁまたここはやらかすなと思うし思われるよ
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
快活クラブの会員だし、アプリも入れてるけど、この件に関するお詫びもお知らせも来た覚えがない。自分は被害にあっていないという事なのか?それならその旨を知らせてくれても良さそうなものだが。
ログインして返信コメントを書くこのコメントを削除しますか?
- このユーザーのコメントを非表示にする今後このユーザーのコメントは表示されなくなります
- このコメントを報告する
この時代に平文でPW保存しておくなんて、自社の社員が見様見真似でフルスクラッチでシコシコ作ったとかじゃないと、あり得なくない? 何らかのフレームワークを使えば勝手にやってくれるし、ベンダーに発注すれば頼まれても平文で保存するシステムなんか作らないでしょ。
ログインして返信コメントを書く
