ChatGPTに頼ってウイルス作って逮捕された15歳、ただの仕様の穴突いた偽計業務妨害で天才ハッカー扱いされてるのは流石にモヤモヤするわ
はてブ曰く誰でもできる大したことのないハッキング技術でこんなことをしたバンダイは社会的責任が希薄で中学生なみだから解散しろと言いたいわけか。従業員は全員解雇しろと
ぐぐってVisual Studioでウイルスを開発したPC遠隔操作事件が2012年。14年たてばそりゃやりやすくもなるわ。
claude mythousがあればこの程度の脆弱性指摘は出来てただろうな。脆弱性の放置は犯罪者を産むので積極的に直していこう
具体的に何したのかはまだわかってないのか
もうしばらく詳報を待ちたい。パスワードを知らずにログインできたのが本当かどうか?
パスワードなしでログインできるから不正アクセス禁止法じゃなくて偽計業務妨害なんですね。
『読売新聞は独自に、男子生徒が「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」と報じている』やはり。
“読売新聞は独自に、男子生徒が「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」と報じている”
と思ったら微妙に横スクロールしてた / 見出しに「不」が抜けてるとこ多くね?
ログイン出来たわけじゃなくて退会ページにユーザー識別子を投げるだけで退会処理が走ってしまう作りだったんじゃないかと予想… 退会の際にメアドとか残高情報が画面に表示されて、それを漏洩と言ってるのかな。
ミュトスベースの診断ツールを有料でもいいからさっさと配ればいいのに。もう配ってたらすまんけど
IDだけでパスワードなし? ログインしているかのセッション管理だけでなんかの処理のときだけIDをPOSTで送ってたか
つけっぱなしにしてたニュース番組で「男子高校生を逮捕」って言ってたの、コレかー。
結局AIが何をしたのかを報道してくれないとAIのよく分からない誤解が広まりそうだって思うこと以外はまあ普通の脆弱性というかシステムの不備というか
バンナムのセキュリティ担当者はAI使えなかったのかもなw
この記事をおすすめしました
14歳でこれができちゃうのが生成AIのクソ恐ろしいところ 少年だから保護されて名前も出ない
善意のある人間しかいないはずのセキュリティ
最近Xだけ更新されていてブログ更新なかったから止められたのかと思っていたらそうでは無かった。嬉しい。
大丈夫?読売新聞の報道だよ?
IDORかな
あちこち通信解析してて穴が空いてた企業狙っただけなんだろうな。
ニックネーム等も取得されているということで、退会以外の処理もできたのかと思ったが、他コメを読むと退会処理画面に表示されただけの可能性もあるか//BANDAI CHANNELは2002年から運営の老舗サイト。レガシーが積もったか
本来セキュアにされてるところに裏口から鍵なしアクセスできてしまう場合でも不正アクセスになるんじゃなかったっけ
AIが暴走して不正アクセスした、と勘違いする人もそのうち出てきそう
アクセストークンなしで会員情報を更新できてしまう作りになってることを少年は気がついてしまったんでしょ あとは、会員IDを順に回して削除していく部分をchatgptで作ったんだと思う 穴を放置しておくバンダイの罪も重
バンダイチャンネルはゲームのアカウントの引き継ぎとかに使われてるやつだっけ。
永眠アカウントの整理ができただけだったり?
退会を忘れて無駄に課金し続けてた人にはラッキーだったかもしれない。
退会ページにCSRF脆弱性でもあったのかな
イタズラにしては度がすぎるな。なにが楽しいのか。
「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」なんとなく、セッション ID がずさんだった、という雰囲気がするなぁ。そうだったら、中学生でも興味本位で気づけそう。
1回目の不正アクセス禁止法違反容疑による逮捕では処分保留のまま釈放、2回目の逮捕は偽計業務妨害罪なので不正アクセス禁止法を適用しにくい手法だったのですかね
民事訴訟で損害賠償いくらになるんだろ
「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」が気になる。セッションハイジャック的な方法とかか?
『会員のIDとパスワードなしでサイト上からログイン可能』が事実だとすると、まぁまぁな脆弱性に思われる。(実際、数万アカウントの退会処理が通ってしまったわけだし。)
セッションハイジャックとかCSRFとかじゃなくね?
自身がログインした状態で他人のidを渡して解約が出来たみたいな感じなのかな。認証はしてるけど認可はしてなかったみたいな
不正に使おうとするとガードされるのが普通だから、あんまり不正っぽくない経路だったんだろうな
“警視庁発表報道によれば、被疑者の男子生徒は同社の通信内容を解析してシステムの脆弱性を見つけ、対話型AI「ChatGPT」を使って不正プログラムを自作し、大量の退会処理を実行したとされる”
“)O)”
不正アクセスによるバンダイチャンネル大量退会についてまとめてみた - piyolog
ChatGPTに頼ってウイルス作って逮捕された15歳、ただの仕様の穴突いた偽計業務妨害で天才ハッカー扱いされてるのは流石にモヤモヤするわ
はてブ曰く誰でもできる大したことのないハッキング技術でこんなことをしたバンダイは社会的責任が希薄で中学生なみだから解散しろと言いたいわけか。従業員は全員解雇しろと
ぐぐってVisual Studioでウイルスを開発したPC遠隔操作事件が2012年。14年たてばそりゃやりやすくもなるわ。
claude mythousがあればこの程度の脆弱性指摘は出来てただろうな。脆弱性の放置は犯罪者を産むので積極的に直していこう
具体的に何したのかはまだわかってないのか
もうしばらく詳報を待ちたい。パスワードを知らずにログインできたのが本当かどうか?
パスワードなしでログインできるから不正アクセス禁止法じゃなくて偽計業務妨害なんですね。
『読売新聞は独自に、男子生徒が「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」と報じている』やはり。
“読売新聞は独自に、男子生徒が「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」と報じている”
と思ったら微妙に横スクロールしてた / 見出しに「不」が抜けてるとこ多くね?
ログイン出来たわけじゃなくて退会ページにユーザー識別子を投げるだけで退会処理が走ってしまう作りだったんじゃないかと予想… 退会の際にメアドとか残高情報が画面に表示されて、それを漏洩と言ってるのかな。
ミュトスベースの診断ツールを有料でもいいからさっさと配ればいいのに。もう配ってたらすまんけど
IDだけでパスワードなし? ログインしているかのセッション管理だけでなんかの処理のときだけIDをPOSTで送ってたか
つけっぱなしにしてたニュース番組で「男子高校生を逮捕」って言ってたの、コレかー。
結局AIが何をしたのかを報道してくれないとAIのよく分からない誤解が広まりそうだって思うこと以外はまあ普通の脆弱性というかシステムの不備というか
バンナムのセキュリティ担当者はAI使えなかったのかもなw
この記事をおすすめしました
14歳でこれができちゃうのが生成AIのクソ恐ろしいところ 少年だから保護されて名前も出ない
善意のある人間しかいないはずのセキュリティ
最近Xだけ更新されていてブログ更新なかったから止められたのかと思っていたらそうでは無かった。嬉しい。
大丈夫?読売新聞の報道だよ?
IDORかな
あちこち通信解析してて穴が空いてた企業狙っただけなんだろうな。
ニックネーム等も取得されているということで、退会以外の処理もできたのかと思ったが、他コメを読むと退会処理画面に表示されただけの可能性もあるか//BANDAI CHANNELは2002年から運営の老舗サイト。レガシーが積もったか
本来セキュアにされてるところに裏口から鍵なしアクセスできてしまう場合でも不正アクセスになるんじゃなかったっけ
AIが暴走して不正アクセスした、と勘違いする人もそのうち出てきそう
アクセストークンなしで会員情報を更新できてしまう作りになってることを少年は気がついてしまったんでしょ あとは、会員IDを順に回して削除していく部分をchatgptで作ったんだと思う 穴を放置しておくバンダイの罪も重
バンダイチャンネルはゲームのアカウントの引き継ぎとかに使われてるやつだっけ。
永眠アカウントの整理ができただけだったり?
退会を忘れて無駄に課金し続けてた人にはラッキーだったかもしれない。
退会ページにCSRF脆弱性でもあったのかな
イタズラにしては度がすぎるな。なにが楽しいのか。
「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」なんとなく、セッション ID がずさんだった、という雰囲気がするなぁ。そうだったら、中学生でも興味本位で気づけそう。
1回目の不正アクセス禁止法違反容疑による逮捕では処分保留のまま釈放、2回目の逮捕は偽計業務妨害罪なので不正アクセス禁止法を適用しにくい手法だったのですかね
民事訴訟で損害賠償いくらになるんだろ
「会員のIDとパスワードなしでサイト上からログイン可能な方法を発見した」が気になる。セッションハイジャック的な方法とかか?
『会員のIDとパスワードなしでサイト上からログイン可能』が事実だとすると、まぁまぁな脆弱性に思われる。(実際、数万アカウントの退会処理が通ってしまったわけだし。)
セッションハイジャックとかCSRFとかじゃなくね?
自身がログインした状態で他人のidを渡して解約が出来たみたいな感じなのかな。認証はしてるけど認可はしてなかったみたいな
不正に使おうとするとガードされるのが普通だから、あんまり不正っぽくない経路だったんだろうな
“警視庁発表報道によれば、被疑者の男子生徒は同社の通信内容を解析してシステムの脆弱性を見つけ、対話型AI「ChatGPT」を使って不正プログラムを自作し、大量の退会処理を実行したとされる”
“)O)”