14/03/11 14:21:30.85
前スレ>>653から
【何が起こったの?】
@Wikiのサーバーがクラックされた。
現在のところ確定している被害は以下の3つ。公式でも明言されている。
1:各Wiki管理者および登録ユーザーのパスワード(暗号化されてるが比較的簡単に解読可能)とメールアドレスが流出した
2:一部のWikiにリダイレクト(別のサイトに飛ばす処理)をするスクリプトが仕込まれた
3:@wikiの「パスワード再発行ページ」が改竄された
1はパスワードの使い回しをしていなければぶっちゃけ神経質になることじゃない。メルアドを知られることすら嫌なら捨てアド作らなかったお前が悪い。
2はそもそも@Wikiの仕様でページにJavascriptを仕込めること自体に問題があって、クラック以前の問題。見る側もセキュリティはちゃんとしとけ。
一番問題なのは3で、「ユーザー側には弄りようがないファイルを弄られた」ということは、サーバーの管理者権限かそれに近い致命的な権限を奪われたことになる。
そして現在このような状態に対策がなされたのか、今一つはっきりしていない。
クラックそのものの被害と情報流出からの二次被害が混同されたり、サーバーの管理者権限と各Wikiの管理人の権限が混同されたり、
いい加減な知識に基づいた憶測、悪意はあっても証拠はないデマ、運営会社の対応への不信etcによって非常に情報が錯綜している。
【何が問題なの?】
最大のポイントは「@Wikiの対応が信頼しきれず、リスクが推し量れない」という点に尽きる。
そもそもこんなクラックをされること自体が管理のずさんさを物語っているのだが、
こんな重大な問題が起こったのにサービスの一時停止どころか各Wikiトップに告知すらことすらしない運営会社の対応が不信を加速させている。
前述のパスワード再発行ページ改竄のような、サーバーの管理者権限についてきちんと穴が防いだかすら信用できないのが現状。