ぶっちろぐ

んー。やっちゃったねぇ…

by BuCCi on 2009/06/24 5:33, under LastChaos

なんの前触れもなく突如行われた LastChaos の「強制パス変更」。
変更された仮パスワードはメールで送信されるという形。


これが多重コケ。
第一に、

事前通知無し

第二に、

送られてきたメールに仮パス大量

まぁこんなもんで。
あと、「【重要】メールアドレスご確認のお願い」という告知が 6/19 にある。
これで確認していれば大概は問題無かったのかも知れない。
だがたったの 4 日間で全ての人がこれを出来たのか? といえば No だろう。
「登録していたメールアドレスが分からなくなった」とか「忘れた」とかあっただろうし
それをユーザー全員に周知させ、必要なら変更手続きを取れるくらいの猶予を与えて欲しかった。

メールアドレスを適当に入れたらアカウント作れたからいいや。って人はどうでも良いともう。自分が悪い。

で、更に「【重要】パスワード変更のメールが届いていない方へ」という告知も出ている。
以下、メアドを伏せて転載 (自分以外のメアドを載せるのが嫌いなので)

1.ご登録のメールアドレスとご利用のメールアドレスが違う場合
ご本人の確認のため以下の内容をご記入して、変更後のメールアドレスで
ラストカオスチーム (ここに送信先メールアドレス) へご連絡お願い致します。

アカウントID : 
最後レベルのキャラクター名 : 
生年月日 : 
ご登録のメール : 
最終接続日 : 
以前のパスワード : 

変更後のメール : 

ID、キャラ名、生年月日の所までは良いだろう。
ご登録のメールって所でこれを忘れちゃった人は戻れないね。忘れる方も忘れる方だけど (汗
セキュアな部分だけどもう少し緩く、登録メールアドレスの所は何か他の物に差し替えられない
物だろうか。自分がとった SS を送るとか。

ただ、もうなんてのかな、こういう復旧手続きも面倒で辞めてしまった人もいるので

マジどうすんの!?

ちなみにこの「仮パスワード」という手法を取ったタイトルがありました。
コルムオンラインというやつですな。むかーしちょっとだけやったことがある (笑
これの運営はしっかり充実した内容のアドバイス的なアナウンスを出している。
実際にハックされたアカウントに良く見られる事例を挙げた物だ。

LastChaos しか見てなかったけど、今年に入ってから各タイトルメジャーマイナー問わず
アカウントハッキングが多発している模様。
エターナルカオス、コルムオンライン、ロハン、完美、ルナティア、FEZ
探せば出てくる出てくるーって、日本は狙われまくってんの!?!?

関連記事

:

2 Comments for this entry

  • T-T
    6月 29th, 2009 on 14:40:42

    おひさしです、自分も少し気になって調べてみましたが
    Clickjackingとかいう攻撃手法があるようです。
    CSSにマウスクリック時の動作を書き込んで(例えばフォームのボタンとか)HTMLで表示されている画像とかのリンクをクリックした時の処理を横取りする感じっぽい。
    イメージ的にWebサイトが2枚重なってるような感じ。。。。。

    で、思い出したのがGENOういるす。
    組み合わせて自動化したらスゲーじゃん@w@;
    それ以外の古典的な攻撃手法とかはとくにかんがえない。

    それと俺のガマの垢も消滅してましたよ;w;

    返信
    • BuCCi
      6月 30th, 2009 on 05:37:32

      お久しぶりっすー。
      ClickJacking ていうのは初めて耳にしましたわ…。
      ちょっと調べたら言うとおり CSS でフォームボタン上に
      レイヤー作って POST なら他サイトにデータが飛んでいったりとか
      かなり厄介な代物ですな。

      どのみち各種公式サイトをハックしないと実現できない物だから
      改竄チェックで Tripwire みたいのでやって欲しい物ですわ。

      Gamania のアカウントが消滅って…
      ぶっちのアカウントは全て生きているままなんだけど
      どういうポリシーで管理しているか謎ぽい…。
      巨匠伝のアカウントだけは「ロック」とか書かれていたけど (笑

      返信

コメント投稿

ブログ内を検索する

ブログ内で検索する語句を以下のフォーム入力へして下さい

ブックマーク