[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- bbspinkのread.cgiへ] 2chのread.cgiへ]
Update time : 08/19 16:11 / Filesize : 260 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

メッセサンオー通販、エロゲ購入者の個人情報大流出 6



1 名前:名無したちの午後 mailto:sage [2010/04/03(土) 15:42:01 ID:gT0VDhbI0]
前スレ
メッセサンオー通販、エロゲ購入者の個人情報大流出 5
qiufen.bbspink.com/test/read.cgi/hgame/1270206300/

メッセサンオー通販、エロゲ購入者の個人情報大流出 4
qiufen.bbspink.com/test/read.cgi/hgame/1270187443/
メッセサンオー通販、エロゲ購入者の個人情報大流出 3
qiufen.bbspink.com/test/read.cgi/hgame/1270175911/
メッセサンオー通販、エロゲ購入者の個人情報大流出 2
qiufen.bbspink.com/test/read.cgi/hgame/1270156384/
メッセサンオー通販、エロゲ購入者の個人情報大流出
qiufen.bbspink.com/test/read.cgi/hgame/1270133624/

576 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:39:48 ID:NwRBvzrL0]
書き方悪かった
改ざんっていうか、パスワード入力して管理画面に入ったバカがいる
それにより改ざんがおこなわれたしcsvも盗まれた
(パーミッションミスで普通に入手できたものをのぞく)

577 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:41:45 ID:X2nfVKLZ0]
>>550
通信内容を知るには通信解析が必要になる
裁判所の許可なしに通信解析なんてしたら犯罪

>>553
Torrentとかはフリーツールの配布にも使われている
それにスカイプもP2P
P2P技術自体には違法性がない


578 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:44:51 ID:Ft5q6lBq0]
格ゲーやMOの通信対戦もP2Pでしょ
ロビー鯖でプレイヤー同士繋いだら鯖から切り離してP2Pっしょ

579 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:47:22 ID:gp6mLcFW0]
>>576
ぶっちゃけdbそのものは盗まれて無いと思うんだよな
SQLは別にあるんだろうし、そこからテンポラリに吐き出してたら
誰もが見られたcsvだって更新されてるはず
俺らがwebキャッシュで見てた画面そのままみただけだと思うぜ
あと考えられるのはSQLから全データ吸い出すことだけど
そこまでするには公開パス以外が必要だしな
まさかroot権限を同じパスにはしてないだろ

580 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:49:36 ID:L4Ws877O0]
shakediary.blog93.fc2.com/?no=2476

店員、沈静化に必死だな。

581 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:50:12 ID:5PkXFi6kP]
>>577
じゃあエロゲは勿論書物なんかに関しても流されてしまっても文句は言えないってことなのか
もう色々終わってるんだな

582 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:54:03 ID:Ft5q6lBq0]
>>577
P2Pってのは、鯖を通さずに端末同士で通信する手法なだけ
それと著作権侵害は別問題でしょ

583 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:55:46 ID:Ft5q6lBq0]
>>581宛てだったわー

584 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:56:23 ID:X2nfVKLZ0]
>>556
Torrentは今でもフリーソフト配布に使われている
配布ソフトのバージョンアップを知らせる機能もあるし

それと通信解析なしで、プロトコルの判別は可能?
裁判所の許可なしに通信解析をすると違法
さらに検閲に該当して憲法に抵触する可能性もある
むしろ、P2P規制の名のもとに通信を監視される方が怖い



585 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:56:44 ID:caa7PiCC0]
改ざんされた状態でわかってて注文した馬鹿もいるみたいだから改ざんされたのをしらばっくれるのは無理ぽ

586 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:58:04 ID:X2nfVKLZ0]
>>581
それは著作権法違反に該当する
アニメやAVでも逮捕者が出ているよ

587 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:58:39 ID:v8oNgsug0]
P2PがPeer to Peerの略と知らない人が結構いるんだよね

あと自動車は便利だけれど大量殺戮可能な道具でもあるんだよね 

588 名前:名無したちの午後 mailto:sage [2010/04/04(日) 12:59:24 ID:gp6mLcFW0]
>>582
鯖を通さずにだと誤解が生じるなw
オーバーレイマルチキャストだと上流ノードが鯖の役目を担ってる

589 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:01:14 ID:A+a8CkYz0]
>>587
poor to poor の略かと思ってた^ー^

590 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:03:41 ID:dYXrYth/0]
>>579
システム的に考えてSQLじゃない
実際3.2MBものCSVの存在は確定してるしな

591 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:05:45 ID:gp6mLcFW0]
確定って誰かがうpでもしたのか?

592 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:07:26 ID:dYXrYth/0]
>>591
うpはしてないけど確かあったはず・・・・

よく考えたら不正アクセスした奴が言ってただけなんだよな・・・
でも信憑性は高いが

593 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:08:34 ID:YkqF6kGs0]
>>573
車のリコールは公表するのが二次被害を防ぐのに有効
ネット上での個人情報流出は(対策が完了するまでは)公表しないのが二次被害を防ぐのに有効

俺はこう考えて発言しているが、どこが間違ってるのかね。

594 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:08:59 ID:BnfQ586mP]
お前ら社員に踊らされすぎ。
バッチリ餌に食いついちゃってP2Pや車に話題がずれてるじゃん。

>>591
してない。確実なのは>>2のパターンABだけ。
後は2chのカキコからの推量。



595 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:13:23 ID:6hNoV1LC0]
管理者権限でCSVを作成してDLする機能だったとして、
最終的に公開されたCSVが一月分なのを考えると、
全顧客データを取得したっていうのが事実なら、
一度全データCSVを作成してDLし、その後一月分のCSVをわざわざ作成し直して放置したってことか。

596 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:14:42 ID:cRTODtXiO]
ID:gp6mLcFW0はメッセ工作員くせえな。
全顧客データぶっこぬき否定に必死すぎ

そもそも一部とはいえ顧客データ全世界公開してたレベルの会社だし
最悪考えておくのが普通。
謝罪文も一番最初は社員のミスって書いたくせに
すぐにシステム脆弱性が原因て書き直してるし。

大体今更店締めて遅いっての。夜逃げの算段か。
こんなとこで工作してないでさっさと賠償してやれよ

597 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:20:01 ID:v8oNgsug0]
今ここにいるのは

・マジで個人情報クロールされた人
・メッセ利用または垢登録の経験がある人
・メッセの社員さん
・祭り燃料待ちの人
・ネタ投下係の人
・やじうま&同業者&技術的にちょっと詳しいと思ってる人

一番レスしてるのは4番目と5番目のタイプ

598 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:20:14 ID:+/xPjSNa0]
社員も火消しに必死みたいだな
沼田とかいうやつが2ch運営に削除依頼頑張ってたしな

599 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:20:49 ID:gp6mLcFW0]
>>596
携帯で長文ご苦労様ですwww
俺がメッセ工作員だったらp2p擁護なんてしねーよw

600 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:22:45 ID:5PkXFi6kP]
>>598
漏えいに一番近い位置にいた野郎だからなあ…
削除依頼すれば火消しできると思いきや大火事になっちゃってるけど

601 名前:名無したちの午後 [2010/04/04(日) 13:24:44 ID:MAZ/lsiqO]
誰かが窓口になって被害者の会を作ろうとは思わないのか?
メッセサンオーが倒産しなければ、電話交換や引越し費用の請求くらいできる


602 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:24:52 ID:6hNoV1LC0]
出社してからの対応は早かったんだけどな・・・
これが2chでスレ立ってすぐだったら、まだ良かったんだが。

603 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:26:11 ID:pj2ylpCwO]
>>602
……早かったか?w

604 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:26:56 ID:YkqF6kGs0]
やたら就職がアウトだの何だの煽ってる奴が先頭に立ってやればいいんじゃないか



605 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:27:24 ID:gp6mLcFW0]
>>595
Perlでどこまで機能持たせたか知らんけど
dbそのもののアップロードやダウンロードはftp使うからな
まさか管理画面にディレクトリ管理まであるとは思えないw
まー全顧客データ流出したとしたら、ディレクトリ管理までできたってことだろうな

606 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:27:46 ID:MAZ/lsiqO]
>>602
普通の会社なら22時とかまで残業は当たり前なんだけど
ダメ企業って閉店と同時に録音音声に切り替えるんだよな

607 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:29:53 ID:gp6mLcFW0]
>>606
公開番号を音声ガイダンスにするのは企業規模関係なくね?w
メッセと取引してる営業がいりゃいつでも繋がる番号分かるだろうけどな

608 名前:名無したちの午後 [2010/04/04(日) 13:30:46 ID:H2uv9qhLO]
これカオス館は大丈夫なの?
エロゲはメッセサンオーで買ったことないけど、カオス館で洋ゲーはたまに買ってたから心配なんだが
変なメールやら来てないし多分大丈夫だと思うけど

609 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:32:33 ID:MAZ/lsiqO]
>>607
まともな会社は音声対応時間でも録音機能が付いていて1時間以内に対応するよ

610 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:36:04 ID:gp6mLcFW0]
>>609
ねーよw
うちは上場外資だけど、公開番号は全部無視
非公開の子番号はいつでも繋がるけど、それを知るのは取引関係者だけ
時間外の問い合わせなんて受け付けてたら、何の為の営業時間か分からんだろ

611 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:38:04 ID:v8oNgsug0]
とりあえず関係スレ拾ってくればわかることであまり煽らないの
憶測でしかないけれど
過去1ヶ月の販売データは操作していた人物(沼田某と思われるPASSを知る人物)が
業務(データ分析して販売戦略組み立て)での利用を目的に生成したデータ
そのCGIの仕様がタコでリファラがサーチエンジンに渡されてあぼーん
その事象が様々な憶測をさらに増やしているんだよ

今北系の情弱さんは釣りも含めてもっと面白い新ネタコピペで頼む
火消し役さんも同様

本当に被害にあった人はとにかく直接的なアクション(イタ電etc)あれば
黙って被害届または被害相談を管轄警察に届ける
女性ならメッセに直接抗議、そして電番やメアドは出来るだけ変更(他のショップ等の登録に使っていたらそれら全てダミー情報に変更してから)
可能なら転居も検討

612 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:39:38 ID:oN0JNyF/0]
>>610
某損保会社にそれやられて困ったことがあったな。
どうしても今じゃないと無理なんだと営業所経由でお願いして電話を担当から回してもらったけど。

613 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:40:49 ID:cRTODtXiO]
スゴい必死な工作員がいるな……w

あるいはボクチンの推理だけが正しいんだい!!って馬鹿か。

614 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:40:56 ID:v8oNgsug0]
>>612
営利企業というものはそういうもの
あと顧客にはレイヤーというものがある
公平ではあるが平等ではないのが世の中



615 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:14 ID:nv7UghVK0]
>>610
まあ、公開無視でも610みたいな会社は
緊急時にはほぼいつでも動けるような仕組みはあるんだろうな。
皮肉じゃなく、うらやましい。

>>608
PC館以外はひとまず安心だけど完全安全宣言は今のところ無理。
お詫びメールも流出者の中で、さらに限定的にしか送信してないみたいだけど。


PC館リアル店舗ほとぼり冷めるまで休業の巻
739 :名無しさん@十周年:2010/04/04(日) 13:05:01 ID:bfPHGN9O0
>>729
twitterってメッセサンオーのアカウントかと思ったら
つぶやきか。勘違いしちまったよ。

ttp://twitpic.com/1d2bll

本日より、PCゲーム館1Fは諸事情により、
誠に申し訳ございませんが、臨時休業
とさせていただきます。
開店時期に関しましては未定となっております。
なお、ご予約商品のお引換えに関しましては、
只今、PCゲーム館B1Fにておこなっております。
(営業時間:11:00〜20:00)
お問い合わせに関しましては下記までお願い致します。

         メッセサンオー PCゲーム館
              【原文電話番号】

616 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:45 ID:JkZVtNbv0]
>>605
ここのCGI使ってるそうだから、外部仕様を見ると機能がなんとなくわかる。
ttp://service.wb-i.net/

感じとしては、DBを使わずファイルシステムだけで管理する小規模向けのCGIだな。

>>608
カオス館はメールか電話での注文のみみたいだけど、それなら漏洩しようがないかと。
情報を持つ外部サーバが無いから。

617 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:42:51 ID:gp6mLcFW0]
>>612
損保だとCC無いか?
俺もオカマ掘られて事故証明送った時に営業時間外だったけど
CC経由で担当に折り返ししてもらった

618 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:43:17 ID:aPqB/XAP0]
店頭に出ている店員はいろいろといわれてつらいだろうな。

619 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:44:49 ID:vY298je5P]
とりあえず関係ないレスばかりしてるID:gp6mLcFW0 NG推奨

620 名前:名無したちの午後 [2010/04/04(日) 13:47:06 ID:zP2r3IFT0]
人に言えないほど恥ずかしいものを買って
イタ電きたからって警察に相談とか
やれるものならやってみろ!!
それこそ警察の不審者リストにのるぞ

621 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:47:25 ID:gp6mLcFW0]
>>616
>システム設定がWEB上から可能。
\(^o^)/オワタ

622 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:07 ID:cRTODtXiO]
セキュリティ脆弱性ってより管理が糞過ぎて流出したわけで

まだデータはオフラインにしかないのを明言してる
プロップの方がマシだな

623 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:09 ID:MtIk0hwyO]
てす

624 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:48:19 ID:NVK949hB0]
もう、ピザは嫌だ―――――――――――――――――――――――――――――――・・・



625 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:49:42 ID:GdKYqjU50]
俺は流出してないけど、
メッセがおわびにいろんな作品の予約特典とかありったけくれれば、
金銭価値的にはアレでも、それなら流出良いかなと思ってしまう俺は深刻なエロゲ脳

626 名前:名無したちの午後 [2010/04/04(日) 13:49:47 ID:zP2r3IFT0]
まあお前らクズはすぐに忘れて
特典つければまた直ぐに買うんだから
ガタガタ言わずにエロゲで黙って抜いてろ

627 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:50:10 ID:ez/ez3XQ0]
>595
できる、できないで言えばCSVダウンロードはできるっぽい。
配布元のサンプルを一ついじってみた(実際はどれが使われてたか俺は知らん)が、
顧客、販売管理情報を検索するたびに
その結果をCSVとしてダウンロード用に生成することができるようで。
そのCSVは多分そのままサーバ上に放置されて削除されないんじゃない?

違うかもしれないんだけど、例えば、1月分の情報を検索するとサーバ上にも結果がCSVとして生成されてそれがダウンロードできる。
(管理者ページからリンクが作ってあるのでクリックで開ける)
CSVはそのまま放置されてたのでサーバ設定もあってそれが拾われた。
改めて管理者ページから全期間の情報を検索するとそれがCSVでできてダウンロードできる。

書いてて思ったけど、管理者が最後に検索したのが全期間だったらそれがキャッシュされてたんじゃねえの?これ。


628 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:50:57 ID:r0r/NKnqP]
記憶してる限り4〜5年前に一回使っただけだが
持ってるデータを削除しろと要求したらこんな返事が来た
ちなみに変なメールその他はきてない

○○様

メッセサンオーPCゲーム館です。
先ず、お返事が遅れました事、お詫び申し上げます。
誠に申し訳御座いません…。

現在確認しております漏洩情報にはお客様のデータはございませんでした。
上記ご報告申し上げます。

お客様の会員情報の削除も全て対応させていただきました。
ご連絡が遅くなり誠に申し訳ありませんでした…。

今後の対応につきましては、具体的な内容が決まり次第
早急にホームページにて告知をさせて頂きます。
この度はお客様に多大なご迷惑をお掛けして誠に申し訳御座いません。
引き続き全力で事態の収束に向けて対応させていただきます。


[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]
株式会社メッセサンオー
PCソフト館
<秋葉原店>



629 名前:名無したちの午後 [2010/04/04(日) 13:51:14 ID:zP2r3IFT0]
>>625
所詮はエロゲーマーなど
この程度の知能しかないんだんらな(笑)
モテナイ底辺乙だぜww

630 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:53:17 ID:JkZVtNbv0]
>>622
水無月ばけら氏も書いている通り、CGIの脆弱性だってのも正しい
GETでパスをURL渡しするという実装がアホで、入力ならPOST渡し、セッション管理ならcookieを使うのが普通
URLならば本人が外部に公開したりしなくても、リファラやGoogleツールバーの様な行動履歴を取るツールから
いくらでも外部に漏れるので

事実、このCGIの管理ページ名とpassというキーワードでぐぐると、同じ様にパスが漏れてる
通販サイトがいくつかみつかる

631 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:53:49 ID:GdKYqjU50]
>>629
ハッハッハ。そんなに誉めるなよ(´∀`*)

632 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:54:49 ID:YkqF6kGs0]
こっちから問い合わせないとお詫びすら送ってこないのか
流出が確認されてない人も含めて、とりあえず全会員に侘び文送るぐらいしても良いと思うんだがな
まあ既に流出が確認されてるはずの俺のところすら何も来てないぐらいだからこんなものか

633 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:55:06 ID:yUU3dDAW0]
>>593
@すでに被害が甚大で取り返しがつかなくなっており(いわば手遅れ)、それよりも先に新たな被害者を出さないことに全力を尽くすか
A一週間全世界に公開されていてもまだ地球上に被害が拡大すると考えて、新たな被害者(避けられる被害者)が出ても無視するか

その違いだと思うよ。俺は@を取っただけ。君はAを取った。それだけ。細かい言葉のニュアンスは君の想像力で補完しなさい。
少なくとも俺は、この情報を教えてくれたら予約しようとは思わないな。何も知らないで予約した人には申し訳ない気持ちでいっぱいになる。

考え方の違いだから、これ以上はお互い無駄だな。俺はあくまでも、助かる可能性の高い命を救うのがポリシーだから。

634 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:55:36 ID:gp6mLcFW0]
>>627
元のdbは暗号化されてるのかこれ?



635 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:56:38 ID:v8oNgsug0]
>>628

> 現在確認しております漏洩情報にはお客様のデータはございませんでした。
> 上記ご報告申し上げます。

ここがびみょーなところだよね
現時点で全登録データぶっこ抜き(噂の●.●MBのCSV)がネタならばその通りだよね

しかしコンサルや弁護士が認めたオフィシャルな文言であれば、言質取れたと思って
今後流出した時は材料になる
疑うようで悪いがそのメール文が本物であれば・・・だが

636 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:59:00 ID:wT1cPhsr0]
>>628
何だそのメール
バイト君にでも書かせたのか

637 名前:名無したちの午後 mailto:sage [2010/04/04(日) 13:59:40 ID:ywsOY6eu0]
>>633
あーあ、厨二病のどうしようもないバカのお出ましだ。

638 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:01:33 ID:JkZVtNbv0]
>>634
この程度の作りのCGIでされてると思うか?俺は思わない。

ところで、顧客管理用CSV(order_user.csv)のフォーマットにはパスワードが含まれていないようだが、
管理ツールだとパスワードも含めて出力できるんだろうか。
ちょっと記述が見つからなくてわからんのだが。

639 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:02:24 ID:l+WHkj1AP]
>今後の対応につきましては、具体的な内容が決まり次第
>早急にホームページにて告知をさせて頂きます。

今後も個別にはメールはしませんよって受け取れるんだが

640 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:03:52 ID:dYXrYth/0]
>>638
3.2MBにはあるっぽい

641 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:04:06 ID:JQ0M3q5OP]
メッセ叩くのはいいが、エロゲ買ってたというだけで白眼視する世間様とは戦わない
エロゲユーザーに失望したw
「情報流出で社会的評価が失墜した、賠償を(ry」とか言えば
エロゲが悪ということは認める流れになる。また大人の戦いか…

642 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:04 ID:Rys1THYj0]
>>639
ふざけてるよな
マジでよっぽどの予約特典をつけてくれないと許せないよ (`Д´) プンスカ

643 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:14 ID:JkZVtNbv0]
>>640
いや、公式の仕様にどう書いてあるかって話。
とりあえずサンプルいじくって調べてるけど、今のところパスまで判る機能は見つかってない。

644 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:05:25 ID:dYXrYth/0]
あと3.2MBのCSVはまだ流れてない模様
勘違いとかで実際はBの分だけ



645 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:06:20 ID:gp6mLcFW0]
>>638
パスはweb画面の顧客データの方に伏字で載ってたな
これもしかしてカード型なんじゃないか?
それならその都度csvにテンポラリ出力するのも頷ける

646 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:08:04 ID:f6nnIco/0]
今来てる子達の求める燃料は千葉のレスによる「3.2MBのCSV」ですw
大方VIPのガキがwikiに書いたコピペをみて動いてるんだろう
わかりやすい

647 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:10:36 ID:gp6mLcFW0]
もしカード型だったら3.2MBのcsvは存在しないな
とりあえずサンプル試したID:ez/ez3XQ0氏が仕様明かしてくれればどうなのか分かる

648 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:14:41 ID:yUU3dDAW0]
情報漏洩で死なないって言ってるが、これはどっちの意味でも解釈できるね。あまりいい言い方じゃなかった。

>>637
議論放棄か。それもまあ自由だ。こっちもやめるよ。俺の先生じゃないから付き合いきれない。
代理で書き込んでもらっているから申し訳ないしね。タイムラグでこっちも誰に答えているのか混乱してきたw

649 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:14:44 ID:JkZVtNbv0]
>>645
顧客DBをCSVでダウンロードできる機能が付いてるのは、携帯電話対応の奴
ttp://wb-i.net/interlock.htm
と、ダウンロード販売対応の奴
ttp://wb-i.net/contents.htm
の二種類っぽいな。

これのサンプル見てみたが、Member Managerではパスは表示されないようだ。
(P=xxxというのが紛らわしいが、これはポイントらしい)
CSVも直接はダウンロードできず、サーバの所定の場所に作成してFTPでダウンロードする仕様っぽい。
しかも御丁寧に拡張子がcgiになってるから、WEBから参照しようとした場合はcgi実行ファイルと判断して
エラーになるっぽい。(少なくともサンプルシステム上では500のエラーになった)

これから判断すると、CSVでのダウンロードって本当に出来たかは疑問。
ただし、WEB上での一覧表示はできたので、それを保存されたらアウトだけど。

650 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:17:31 ID:JkZVtNbv0]
って、今のサンプルだと、パスをGETで送ってURLに含まれる仕様が修正されてる……

651 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:17:58 ID:hik8E8za0]
>>636
まともな文章書ける社員なんていないだろう
エロゲショップに勤めるような人間だぞ

652 名前:名無したちの午後 [2010/04/04(日) 14:19:27 ID:7SaQiP8oO]
そもそも世間様に顔向けできないような、
卑猥な商品買う方にも問題あるわ
自業自得の変態野郎どもに明日が無いのは当然。

653 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:20:32 ID:gp6mLcFW0]
>>649
古いバージョンはまんま.csvで吐き出してたから今回のようなことになったって訳か
どちらにせよdbがcsvでは無いってことは分かったし、全顧客データはガセっぽいな

654 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:21:52 ID:dYXrYth/0]
>>647
とりあえず置いておくか
サンプルの管理画面
パスは1234
wb-i.kir.jp/sample/SPF910/admin.html



655 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:21:57 ID:5PkXFi6kP]
こうやって開き直りみたいなレスがくるあたり追い詰められてるのかな
卑猥も何も違法なものじゃねえんだから文句を言われる筋合いはないのに

656 名前:名無したちの午後 [2010/04/04(日) 14:22:36 ID:De7m4jzzO]
エロゲ買うのがそんなに恥ずかしい事かなあ?
他人に迷惑かけない限り、個人の趣味の範疇でしょ

657 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:22:57 ID:ez/ez3XQ0]
>>647
自分で試せば一発でわかるだろうがw

俺は、
実際流れてるかは知らんが、
管理画面から全顧客の住所やらなんやらが入ったCSVを一発でダウンロードすることはできるし、
>>595の言うところの
>一度全データCSVを作成してDLし、その後一月分のCSVをわざわざ作成し直して放置した
はちょっと違うっぽいっていうだけですがな。

658 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:23:12 ID:JkZVtNbv0]
>>653
いや、注文情報については拡張子CSVで生成されるし、直接Sale Managerからダウンロードできる。
仕様が異なるっぽい。

ユーザ管理機能についてはこの騒ぎで慌てて機能変更した可能性は否定できないが。

659 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:23:14 ID:2Omv+aqC0]
誰の人権も侵害していないしな

660 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:24:37 ID:dYXrYth/0]
今回の1月分はこれか
自動で消える予定だったらしいw
>※./csv_lock/sg_shop.lockなど。在庫管理のためのファイルロック用ファイル。自動作成・削除される。

661 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:25:42 ID:E78utcHW0]
>>655
そりゃこの数日間で数百万の損失になってるだろうからな
早く火消しして何事もなかったように通販再開したいんだろ

662 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:26:14 ID:dkdk70hL0]
>>652
お前もエロ画像とかAV見るだろう

663 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:29:14 ID:JkZVtNbv0]
もちっと調べたら、注文情報には三種類のCSVがあるのな。
・注文管理用csv
・販売管理用csv
・顧客管理用csv
があって、このうち顧客管理用csvが今回流出した顧客一覧の様だ。
ここで、検索期間を大きく取ると、実質全ての顧客の情報をCSVでダウンロードできたぽい。
ただし、パスワードは含まれないようだ。

664 名前:名無したちの午後 [2010/04/04(日) 14:32:34 ID:7SaQiP8oO]
少なくとも近くにそんな類の趣味に浸っている輩が住んでいたら、
子供とかには一切近付くなって指示をするだろうな。
ネットで趣味の細分化とか云々って声高だけど、
至って常識的な世間の目すら麻痺してわからなくなってる変態どもが真のゆとり能だと思うわ。



665 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:33:41 ID:LScMuMtT0]
>630
このCGIに関しては、販売元の責任が重大すぎる。
結局は、どんだけWebの基礎知識がないのにCGI売ってるんだよって話になるよな。
CSVについては疑問が残るが、管理ページのURL漏れたら駄々漏れって仕様が糞過ぎる。
そして、そんなちょっと管理ページサンプル見ただけでもわかるような穴に気付かずに
採用を決めたメッセのWeb担当者の責任も……

>633
君の意見は既に大規模に漏洩してしまったあとの話しかしていない。
情報漏洩は小規模なうちに対策を取るべきであり、祭にしなければ漏洩も大規模にならなかった。
これならそもそも1は成立しないし、公開前に対策を講じる事で2も成立しなくなる。
祭にするなど言語道断なんだよ。

666 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:33:47 ID:JkZVtNbv0]
しかし、サンプルでCSVファイルのダウンロード名が muzukasiinamae1.csv となってるのが噴飯もの。
これはなんですか、外部の人からも参照可能だから、簡単に類推されてしまうような名前は付けるなと
そういうことですか?

見れば見るほどひどい仕様のCGIだ。
やっぱ日曜プログラマが小使い稼ぎに作ったCGIなんじゃないのこれ?

667 名前:名無したちの午後 [2010/04/04(日) 14:34:16 ID:7SaQiP8oO]
×能

○脳

668 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:36:10 ID:gp6mLcFW0]
>>663
色々試したけど、デフォだとディレクトリのパーミッションミスって流出した場所に生成されるみたいだな
結局出力したらcsv_lock/order_user.csv、order_sale.csv、goods_file.csvが更新される仕様ってことか
それなら誰もが入手できたcsvしか流出してないことになるな

669 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:37:28 ID:JkZVtNbv0]
>>665
> そんなちょっと管理ページサンプル見ただけでもわかるような穴

サンプル見る限りだと、全画面を1フレームで構成したフレームで隠蔽されててアドレスバー見てるだけでは判らないぽい

670 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:37:50 ID:5PkXFi6kP]
>>665
ν速やvipの馬鹿どもが広めまくってたみたいだから相当数に漏えいしてるんじゃないのか?
ネットメディアも何故か食いついてとりあげてたし

671 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:38:16 ID:pj2ylpCwO]
>>665
しかもメッセは通販の説明で顧客データはセキュリティ的に安全で漏洩は一切ありませんと言ってた上でのこの杜撰ぷり

672 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:39:57 ID:JkZVtNbv0]
>>668
> デフォだとディレクトリのパーミッションミスって

いや、このCGIの仕様だと、パーミッションを設定すると管理者もダウンロードできなくなるので、
外部参照可能なパーミッションなのはCGIの仕様と思われる。

CSVデータをCGIプログラムから直接渡すのではなく、一旦サーバ上に生成してそのファイルを
ブラウザで参照する形になってるから。

結論:CGI開発元バーカ

673 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:40:38 ID:c5Kvbjti0]
もし通販再開するなら他のところのシステム使うだろう
ここの会社のシステムを引き継いで使うようならマジ基地

674 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:41:10 ID:nv7UghVK0]
何回繰り返されたかこの話
wb-i.net/advice.htm#adm

設置方法Q&A14−管理画面の呼び出し方法
管理画面を呼び出し、パスワードを入力すると、
パスワードがアドレスバーに表示される場合があります。
これはパスワードをCGIで受け渡ししているためです。
それを表示したくないときはフレームを使うことをお勧めいたします。



675 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:41:41 ID:2Omv+aqC0]
なかなか見事なスルーだ。
このままスルーでいこう。

676 名前:名無したちの午後 mailto:sage [2010/04/04(日) 14:42:27 ID:a3VAOnfYO]
自分自身はメッセ使ったことがないから被害はなしで
発覚直後の一日23時半頃からずっと経緯を追ってるが
何となくネット関係に詳しくなってるような錯覚覚える不思議

言ってることの大半はわかんないんだけどね






[ 続きを読む ] / [ 携帯版 ]

前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<260KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef