FIAの深刻なバグでマックス・フェルスタッペンのパスポートと個人情報が丸見えに?
引用元:https://news.ycombinator.com/item?id=45673130
これは単一の脆弱性じゃなく、数多くの失敗の連続だね。例えば、申請者の書類は目的を果たしたら、ライブサーバーに保管し続ける必要は全くない。爆発半径の削減とかさ。これで一生無料チケットでも手に入れたらいいんだけど。
>申請者の書類は目的を果たしたら、ライブサーバーに保管し続ける必要は全くない。爆発半径の削減とかさ。
セキュリティ侵害の後になって、こういう後知恵で他人を責めるのって嫌いなんだ。人生にはセキュリティ以外にも懸念事項はあるんだよ。違うと思うなら君はナイーブだ。君の家は安全?誰かに侵入されることはない?セキュリティに対する過失で防御態勢を損ねてない?そもそも気にしてる?
その態度で他人のPIIを扱わないでほしいね。PIIを収集する企業は、個人の家や個人的な設定よりもずっと安全に扱うべきだ。これについては法律もあるんだから。
そうそう、マッチを持ってる人じゃなくて、火事を指摘する人を非難するんだね。失敗後に批判に直面する覚悟がないなら、プロの環境には参加すべきじゃない。
何が間違っていたのか指摘する人がいなければ、どう改善すればいいか絶対分からないよ。だって、もし知ってて行動しなかったんなら、それはもう全く新しいレベルの無能さだろ。
セキュリティはコンピューティングにおいて最優先事項であるべきだよ。君の家は刑務所みたいに要塞化する必要はないだろうけど。なぜなら、家と違って、コンピューターシステムは常に80億人にさらされていて、そのうち70億人くらいは侵入して物を盗んでも何の報いも受けないかもしれないんだから。
それは君が自分で選んだことだね。もし銀行が君のためにそう選んだら、どう感じる?
毎月少なくとも数回は、平均的な会社にとってセキュリティと事業継続性は完全に時間の無駄だって言われるよ。だからこれは後知恵じゃなくて、「あのバカどもは基本すらやってないし、もっとちゃんとできたはずだ」って感じだ。
Ian、もし定期読者を増やしたいなら、君のウェブサイトにRSSフィードがあったら最高だね :)
Ianは素晴らしいライターだね。
これってセキュリティって呼べるのか?丸見えだったじゃん…。でも、こういうの見ると自分のインポスター症候群には効くね。
報告されたその日にウェブサイトをオフラインにしたんだって!すごいじゃん!
うん、いい対応だったと思うよ。この手の企業にしては、修正もそんなに時間かからなかったし。
FIAが欧州の組織なのが、対応の速さにどれだけ影響したんだろうね?もし米国で、大したことない集団訴訟で済むって分かってたら、ここまで素早く反応したかな?
ちょっと興味あるんだけど、明示的なバグバウンティプログラムがない場合に、こういう調査で法的な脅しを受けたことってある?あと、プログラムがないのに報告したら報奨金をもらえたことってある?
ドイツでは、Modern Solutionって会社の事例がかなり注目されてるよ。あるITの人がパスワードを見つけて、会社のphpmyadminで試したらデータにアクセスできたんだって。それを報告したら、彼らはそのITの人を訴えて、最高裁まで行った結果、ITの人が罰金刑になったんだ。https://www.heise.de/news/Bundesverfassungsgericht-lehnt-Bes…
追加の情報なんだけど、2007年に§ 202 StGBを厳しくする変更があった時、多くのプログラマーが参加して反対集会があったんだ。でも当時の政治家たちはそれを無視。この件(他の懸念すべき政治的出来事と合わせて)が、ドイツで一時的にPiratenparteiっていう新党が生まれたきっかけにもなったんだよ。政治家たちがこうした声を無視したせいで、多くのプログラマーにとってドイツの政治家は、再犯を繰り返す児童性愛者と同じくらい信用できないって見られるようになったんだ。
教訓:良い人になって報告するより、闇市場で売っちゃえよ。
(あえて反対意見を言うけど)それは違うでしょ。もし道で誰かの物理的な鍵を見つけたら、隣人のドアを開けようとする?だったら、”見つけた”パスワードでサイトにログインするのはなんでOKなの?
好奇心だよ。以前、リースオフィスに行く途中で鍵を落とした。複合施設中を探していたら、郵便受けで一つずつ鍵を試している男がいたんだ。手伝おうかと聞くと「鍵を見つけて誰のものか知りたかった」って。僕の鍵だった。でも僕の郵便受けは複合施設の反対側だから、彼にとっては無駄だった。近くで鍵を試すのは簡単だけど、見つけた鍵で一軒ずつドアを試すのは怪しいし、たぶん違法だ。リースオフィスに届けるべきだった。
もしそれがUSPSの郵便受けなら、それって超違法かもね。
たぶんそうだよ。僕の複合施設の郵便受けだけど、USPSしかアクセスできないからね。
指示が不明瞭だね—これからは見つけた鍵全部、この人のリースオフィスに郵送するわ。
いや、それは違うよ。僕なら隣人が使うコード付き南京錠で例えるね。それは15分で総当たりできる。もし僕が隣人に「その南京錠はダメだ」と教えて、彼が僕を訴えるようなら、次は地元のチンピラに「はい、南京錠とコード、好きにしていいぞ」って言うだけ。後悔はしない。もしその野郎が悪趣味で嫌がらせを続けるなら、僕もそうするよ。
もし隣人のドアで鍵を試さなかったら、それがどの隣人のものか、どうやって分かるの?
さらに悪いのは、それが隣人の鍵だと知っていて、念のためドアで試すことだね。
”家の鍵”っていうよくある例えは、全然意味ないと思うな。そもそも、世の中のほとんどの人は24時間年中無休で君の家に侵入しようとはしてないでしょ。
ブログ記事で説明されてた管理者権限への昇格の試みは、法的にかなり怪しいぜ。普通は、こういうのはちゃんと合意した「レッドチーム演習」か「侵入テスト」でやるべきなんだ。後から「倫理的」って言っても意味ないよな。
この業界が前に進むには、誠実なセキュリティ研究しかないんだ。良くも悪くもね。ほとんどの会社は、VDPsみたいなものには投資したがらないのが現状だよな。https://www.justice.gov/archives/opa/pr/department-justice-a…
正式なバグバウンティがないと、CFAAで不正アクセスとして法的に危ない。FIAが本気なら研究者を訴えるかもな。
倫理的には良いが、管理者権限への昇格試行はURLパラメータ変更以上だ。権限を予想したら許可を求めるべき。「許可があれば検証できる」と伝え、無許可はリスク高すぎ。やってもすぐ開示、説明しろよ。PIIプリフェッチの可能性もあり、責任を問われるリスクがあるから注意してくれ。
じゃあさ、こんなことをするのは、情報を見つけて闇市場で売るブラックハットハッカーだけがいいってことなの?
もっとコメントを表示(1)
誰もそんなことは思わないだろうけど、結局は法律がバカなんだよ。特にCFAAはひどくて、大したことないことでも何十年も刑務所にぶち込まれる可能性があるんだからな。
彼がやったことは確かに法的に危ないよ。セキュリティ研究が「正しいこと」だって思ってても、業界には無能なやつもいるんだ。そういうやつらにとって、君のセキュリティ研究は面倒ごとが増えるだけだから、君を非難して法的措置を取ろうとするインセンティブがあるんだよ。報復から身を守る唯一の方法は、攻撃者みたいに匿名で活動することだ。後から身元を明かすのはアリだけど、敵対的な反応があった時にそれが最高の盾になるからな。
たとえ彼らがサイトの脆弱性を気にする人であっても、組織の力や政治的な支援、必要な優秀な人材が足りてないことがよくあるんだよな。
大学時代に脆弱性を報告したら、会社が法的措置で脅してきたんだ。でも、教授が強いメールを送ってくれたら、会社は諦めたんだよ。それ以来8年間、そういうことは一切ないね。多くの会社が、俺たちのやってることを理解してくれるようになった気がするよ、10年前と比べたらな。
これって大学ではマジでよくある話だよな。大学アカウントを持ってる奴なら誰でもDNSを編集できるってケースで、IT部門が告訴しようとしたんだけど、CS学科長が口を挟んで止めたんだ。
昔、学校のコンピューティング図書館で、イェール大学のいくつかのマシンのrootパスワードリストを見つけたんだ。試したら有効だったよ(リモートからrootでログインできた古き良き時代さ)。管理者に知らせたけど、完全に無視されたんだ。1ヶ月後もまだそのパスワードが使えたよ。助けようとしただけで訴えられなかった時代で、俺は幸運だったね。
実際の法的脅威はあんまりないけど、企業が「公開しないでくれたら」ってバグ報奨金みたいな賄賂を提案するのを見たことがあるよ。もちろん、それは断るべきだね。
それを断るってことは、犯罪から利益を得ることになるから?それとも、公開する機会の方が賄賂より価値があるってこと?
断るべき理由は、その会社がセキュリティに対してどんな考え方をしているか、世間に知ってもらう必要があるからだよ。
金だけもらって、公開は他の誰かに任せちゃえばいいんだよ。
ありがとう、世間の考え方が変わったって聞けて嬉しいな。
著者にF1スーパーライセンスをあげて、実際にF1マシンを運転させるっていう絶好のチャンスを逃しちゃったね!
そうだったら良いのにね。
古い会社はセキュリティも古いままだよね。研究開発は頑張ったみたいだけど、全然驚かないや。ハッシュもMD5だったって賭けてもいいくらいだよ。
あなたはどんなハッシュを使ってるの?
bcryptは業界標準でよく使われてるよ。
bcryptは業界で広く使われてるけど、2015年からはargon2idが新しい仕事での標準としておすすめだよ。パラメータはOWASPのチートシートを見てね!
[1] https://en.wikipedia.org/wiki/Password_Hashing_Competition
[2] https://cheatsheetseries.owasp.org/cheatsheets/Password_Stor…
Argon2は入力長を気にしないけど、bcryptは最初の72バイトしか比較しないんだ。Oktaがこの問題でやられたことがあって、userid+username+passwordの組み合わせが72バイトを超えるとパスワードが確認されずにログインできちゃったんだって!
https://trust.okta.com/security-advisories/okta-ad-ldap-dele…
俺は1337ハッカーだから、パスワードは公開S3バケットに平文で保存してるぜ!
yescryptも最近は結構使われてて、Debianのデフォルトにもなってるんだよ。
F1のサイトなんだし、彼らの仕事は「早く動いて壊す」ことだからね! https://xkcd.com/1428/
いやいや、これはF1じゃなくてFIAの話だからね。全然違う組織なんだよ。
[1] https://en.wikipedia.org/wiki/F%C3%A9d%C3%A9ration_Internati…
https://en.wikipedia.org/wiki/Formula_One_Group
F1で物を壊したら負けだよ。信頼性と一貫性が一番大事なんだ。
そう見えるかもしれないけど、F1は革新と一貫性のバランスが大事なんだ。WilliamsのJames Vowlesも「全てを壊せ」って言ったし、F1カーはプロトタイプだから常に変革が必要なんだよ。
Ross Brawnも「Total Competition」で、F1は新しい技術を最速で試す場所だって言ってる。航空宇宙産業が5年かかるところ、F1なら5ヶ月で答えが出るんだって!
https://youtu.be/nYzwvTSffiY?t=3129
チームが画期的な部品を開発して他のチームがコピーし、それが標準になるなんてことは何度もあったよね。F1はリスクを冒して実験することで常に進化してきたんだよ。信頼性や一貫性だけじゃないんだ!
2025年にはPII(個人識別情報)のほとんどが法的責任になっちゃうと思うな。前にMixpanelみたいな分析データを繋げられるカスタムサービス見たんだけど、そこはPIIデータを一切欲しがらないってのがモットーで、匿名データにアクセスできる社員や会社もみんな偽名(例えば”Ocean’s Eleven”って会社名で、社員がBillyとかReubenとか)使ってたよ。誰か匿名性をデフォルトにするアプリケーションのアーキテクチャや設計(本とか参考文献)知ってる人いる?
僕の好きなハッキングは、JavaScriptを読んでPUTリクエストを書き換えるやつ。
思ったよりこれで突破できちゃうんだよね。
ランス・ストロールのライセンスを削除するチャンスを逃したな。
これって、特定のAPIエンドポイントに対して、どのフィールドへの書き込みを許可するかバックエンドでホワイトリスト化してないケースなのかな?
変だな、サイトはIan Carrollが運営してるのに、例に出てるのは超有名なバグバウンティハンターのSam Curryだ。
もっとコメントを表示(2)
投稿から引用ね:「航空会社のマイルを貯めたり、特定のサイバーセキュリティベンダーにお世辞を言ったりして、イベントに参加できたんだ。それでGal Nagli、Sam Curryと僕は、F1イベントの関連ウェブサイトをハックしてみるのが面白いだろうと思ったんだ。」
彼の他の投稿を見たら、彼らよくコラボしてるみたいだよ。
ドゥドゥドゥドゥ….. ハックス フェルスタッペン
まあ、少なくともパスワードハッシュだったからね :D
期待しすぎんなよ。どんなハッシュか言ってないし、サイトのセキュリティ設計からして、ソルトなしのmd5だった可能性もあるぜ。
もしかしたらrot26かもしれないな。rot13の2倍安全らしいぜ!
2025年にもなるんだし、少なくともrot52を使うべきだろ。ベストプラクティスガイドはこれ: https://github.com/killerk3emstar/rot52
あー、ありがとう!これらを追いつくの大変だわ。次に何が来るって、学者連中が「ポスト量子暗号」とかでrot104とかrot208に切り替えろって言ってくるんだろな。
多分、また別のrockyouが起こるのを待ってるんだろ。
ルール1。ユーザーが提供したデータは絶対に信用するな。このルールが破られたら、他のルールも破られたことが皆に明らかになるんだ。
もうクライアントサイドのセキュリティは克服したもんだと思ってたんだけどな。
そう思うだろ?でも俺は、クライアントコードに実装された検証とセキュリティは回避できないって考えてる「経験豊富な」技術リーダーたちにしょっちゅう会うんだよ。
俺はブラウザのデベロッパーツールを使って、メニューにないドロップダウンオプションをよく追加してたぜ。Huelは2週間か4週間のサブスクしか提供してなかったんだけど、俺は3週間に増やして、問題なくできたんだ。3週間後にシェイクが届き、それ以来3週間ごとに届いてるよ。
価格を調整してみた?
ハンガリーの子供が安いバスチケットの件で逮捕された事件に触れてる。これと全く同じような事件だね。詳細はこのブログ見てね: https://www.bitdefender.com/en-us/blog/hotforsecurity/budape…
逮捕されるのは当然でしょ!窃盗なんだから。もし俺の家に誰かが入って物を盗んだら、たとえドアを開けっ放しにしてたとしても、そいつが逮捕されるのを期待するよ。
HNにいて何してるの?子供は大企業の脆弱性を暴いただけで、まるで銀行の金庫に侵入してセキュリティの問題を知らせたようなもんだよ。これは銀行側の責任で、子供のせいじゃない。企業が自分の失敗の責任を逃れるために、子供を利用して法的に潰しただけだよ。
君の言う「大企業の脆弱性を暴いた」って、ちょっと違うんじゃない?子供は意図的にサービスの価格を27£から0.15£に下げたんだよ。スーパーで値札を張り替えて安くするのと同じだろ?システムがどんなに壊れてても、金銭的利益のために悪用するのはダメだよ。
俺の保険会社、登録ページとログインページでパスワードの正規表現が違うんだよね。登録できたパスワードがログインでは通らないから、ログインするにはフロントエンド側のパスワード正規表現チェックを手動で解除しないといけないんだ。
勘弁してよ、子供は単に開発者コンソールで遊んでただけで、多分上のコメントみたいに「値段を調整してみた?」って好奇心からだよ。彼が罰せられたのは「ハッキング」のせいで、窃盗じゃない。それに、この大失敗の責任者に恥をかかせたことが間接的な理由だろ。
これはね、もし君が家で何かを10ドルで売ってたとして、誰かが来て値札を1ドルに書き換えて、君がそのお金を受け取って品物を渡したような状況だよ。変な状況だけど、これを窃盗とは言えないと思うな。
もし子供が物理バーコードのスキャン値をうまく変更できたなら、それは本当にすごい偉業だよ。そしてそれは間違いなく「たくさんの大企業の脆弱性を晒した」ってことになるだろうね。
ルール0:ネットワークにつながってるコンピューターは「半公共」だと思った方がいいよ。公開されたくない情報は置いちゃダメだし、公開されたくない制御へのアクセスも与えちゃダメ。たくさんの脆弱性があるから、そう考えないと危険だよ。
「子供は単に開発者コンソールで遊んでただけ」っていうのは、問題の核心を突いてないよ。スーパーで値札を張り替えるのと同じで、それを脆弱性研究って呼べるかな?システムがひどいのは確かだけど、金銭的利益のために意図的に悪用するのはやっぱり問題だね。
