ライブドアクレジット(ライブドアが買収した旧 ロイヤル信販)のオンライン個人向けローン商品「もえろーん」のホームページに、他人のライブドアIDでアクセスできてしまうセキュリティホールがあることがわかった。大佐blog in ニュー速:ライブドアファイナンス祭り・他人のIDで勝手にログイン!?
リンクを踏むだけで、他人のIDでライブドアファイナンスに
ログイン出来てしまう状態にある事が本日分かった
現行スレ(ヤバイかもしれないので>>1のリンクは踏まないように!!!)
http://news19.2ch.net/test/read.cgi/news/1128907263/
158: 2005/10/10 10:57:04 ejCsUwG90
■ライブドア祭りのまとめ■
>>1がライブドアが金融業にも手を広げたのに呆れたという意味でスレを立てる。
↓
リンク先に行くと他人のIDが・・・
↓
>>1のIDか?という疑問が出るが、>>1は否定。真相は不明
↓
セキュリティが甘いのか?という声も出る
↓
コロコロとIDが変わる
↓
どうやらセッションが丸見え状態であるらしいという事が分かる
↓
正直ライブドアには呆れた
要は、>>1のリンクを踏むだけで不特定多数の方のIDでログインできてしまう・・・
という超超危険な状態らしい
確定情報のみ載せました。
現時点で『ログインできてしまった』事が確認出来たIDの方(一部伏せ字)
↓
329: 2005/10/10 11:31:52 yiRY+xk50
ようこそ、di●fractさん
↓
ようこそ、ki●aku_sk2さん
↓
ようこそ、lo●d_to_momokoさん
↓
ようこそ、bas●man888さん
↓
なんだか詳しい方の解説
↓
85: 2005/10/10 16:00:41 kL3ib6rq0 BE:361557959-##
基本postでパラメーター渡してるけど、getでも受け取って普通に表示できちゃうとか、そんな感じじゃね?
大企業にはありえないセキュリティーホール。。
バックドアからAFでドスン!である。
早いとこ改善しないと被害が出てしまうかも。
どうやら、「もえろーん」のサイトのURLにあるセッション情報の文字列が再利用?されていて、そのセッション情報の文字列に記録されているライブドア会員IDで誰でも「もえろーん」アクセスできてしまうようだ。また、周期的にそのセッション情報の文字列に記録されているライブドア会員IDが変わっているようだ。もしかしたら、きわめて危険な状態かも。
【追記】
ライブドアも問題に気づいて、メンテナンスに入った模様。
【あまり関連ないかも】
・プレ子は思いました。「あの郵便配達のお兄さんに会えなくなるのはちょっと残念。軽くやばい感じだったのに」
