まとめアメリカが木曜日の感謝祭の儀式である七面鳥、フットボール、親戚との気まずい会話に備える中、3 つの組織ではセキュリティの混乱を解消するために管理者が残業することになっている。
ホワイトハウス職員のイヴァンカ・トランプ氏も今週、テクノロジー界の象徴であるテスラ社やTumblr社に続き、セキュリティ関連の恥ずかしい失態を報告した。
善良なイーロン・マスクがテスラの顧客アカウント150万件へのアクセスをユーザーにプレゼント
電気自動車メーカーのテスラは、フォーラムユーザーの1人に150万人の顧客の電子メールアカウントへのアクセス権を与えるなど、すでにホリデーシーズンの贈り物精神を盛り上げている。
クーポンサイト「DansDeals」のオーナー、ダン・エレフ氏は、モデル3の購入に関してテスラに苦情を申し立てたところ、誤って同社のフォーラムのモデレーターに任命され、すべてのユーザーアカウントにアクセスできるようになったと書いている。
エレフ氏は自身のサイトへの投稿で、テスラのカスタマーサービス部門の明らかなミスにより、テスラのサイトで彼が車の所有者ではなくカスタマーサービス担当者として登録されてしまった経緯を説明した。
TalkTalkのハックハックデュオがクーラーに投げ込まれたクーラー:ISPを荒らした「才能ある」2人組に有罪判決
続きを読む
エレフ氏は、その役割で、友人や家族の顧客プロフィールやテスラの従業員のプロフィールなどを調べることができたと語った。
「信じられないことに、このウェブサイトではカスタマーサービス担当者が、誰にでも任せたい役割を割り当てることができるのです」とエレフ氏は指摘した。「これは非常に深刻なセキュリティ上の欠陥です。」
取引屋は、慈悲深い独裁者というわけでもありませんでした。ある時、ダンは自分の投稿を削除しようとしたところ、誤ってフォーラムから数千もの過去のスレッドを削除してしまったそうです。
言うまでもなく、これは関係者全員にとって悪い印象を与えました。その後、この問題は解決され、ダンはフォーラムでゴッドモードを楽しむことはなくなりました。
テスラはEl Regへの声明で、「当社のバグ報奨金プログラムは、この種の報告と、セキュリティコミュニティによるより詳細な調査を促進するために特別に設立されました。今回のケースでは、お客様にはテスラのフォーラムに対して、本来よりも高いレベルの権限が誤って付与されていました。このフォーラムは、当社の車両、メインウェブサイト、その他のデジタルチャネルとは接続されていません」と述べています。
報告を受け次第、アクセスを無効にし、徹底的な監査を経て権限を適切に調整する変更を行いました。フォーラムにおけるアカウントやコンテンツの不正利用があったと考える根拠はなく、再発防止策を講じました。潜在的なセキュリティ脆弱性を報告されたお客様は、バグ報奨金プログラムを通じて報奨金にご応募いただけます。
児童搾取取り締まりのさなか、Tumblrアプリが停止
ティーンの隠れ家、ムーディーなTumblrのモバイル版が、AppleのiOS App Storeから数日前から消えている。これは、同ブログサイトが違法コンテンツの取り締まりに取り組んでいるためだ。4日間にわたりサービス停止について沈黙を守っていたTumblrは、火曜日にようやくiOSアプリのサービス停止の理由を明らかにした。その理由は非常に陰惨なものだった。
一部のユーザーが児童性的虐待画像を投稿するためにサイトを悪用していたことが判明し、Tumblrは今後、下劣な違法コンテンツをフィルタリングできるようにアプリをアップデートする必要がありました。これにより、TumblrはiOS App Storeからアプリを削除せざるを得なくなりました。
Tumblrは、「Tumblrにアップロードされたすべての画像は、既知の児童性的虐待に関する業界データベースと照合され、検出された画像はプラットフォームにアップロードされることはありません」と述べている。「定期的な監査により、業界データベースにまだ含まれていないコンテンツが当社のプラットフォーム上に発見されました。」
TumblrはApp Storeにいつ戻るかについては言及しなかった。
でも…彼女のメール?
皮肉が好きな人のために言うと、トランプ政権の住人で大統領の娘のイヴァンカ・トランプが、私用メールサーバーを使って政権の公務を遂行しているところを捕まった。
ワシントンポスト紙は、イヴァンカ氏が自身と夫のジャレッド・クシュナー氏が所有するドメインの個人用メールアカウントを使用して、補佐官、閣僚、個人秘書にメールを送信していたと報じている。
報道では、米政府当局者の話を引用し、イヴァンカ氏が2017年の「大半」にわたって個人アカウントを使用していたと主張している。また、同氏の弁護士は、このアカウントから機密資料が送られたことはなかったと述べている。
おそらく最も面白いのは、報告書が、トランプ政権の職員が、公務に個人のメールを使用することが連邦記録保存法に違反することを知らなかったと主張している点だ。
一部の補佐官はイヴァンカ・トランプ氏の個人メールの多さに驚き、その慣行について質問された際の彼女の反応にも当惑した。彼女の反応を知る人物によると、彼女は規則の詳細の一部はよく知らないと述べたという。
それは全く理にかなっています。トランプ陣営が2016年の大統領選で同様の状況を焦点にしたわけでもないですし。イヴァンカは、公務に個人のメールアカウントを使うとトラブルに巻き込まれるとどうして知るのでしょうか?
この事件に関する議会公聴会と刑事告訴が、今にも始まるだろう。
ボーナスT:テザー社、ビットコインのポンプ&ダンプ疑惑で捜査
驚く顔を準備してください。昨年の完全にランダムなビットコイン価格の急騰とその後の急落は、誰かの懐を肥やすために悪意を持って人為的に仕組まれた可能性があります。
ブルームバーグは、独自の暗号通貨とビットフィネックス取引所の両方を運営するテザー社が、価格操作をめぐって米司法省の捜査の対象になっていると報じている。
どうやら司法省は、BitfinexとTetherがビットコインの価格操作計画に関与していたと疑っているようです。この計画は昨年、1コインあたり2万ドル近くまで急騰しました。その後、ビットコインは緩やかに下落し、現在ではほとんどの取引所で5,000ドル前後で推移しています。
インターネットの笑い話で冗談を言うのは簡単ですが、仮想通貨投資でお金を失ったことで人生に深刻な影響を受けた人はたくさんいます。市場が違法に操作されていたとしたら、誰が犯人であろうと、裁判にかけられるべきです。®
でも、待ってください。他にも情報セキュリティに関する興味深いリンクをいくつかご紹介します。
- LinuxでMicrochip社のソフトウェアスイートを使用し、Microchip Technology XC License Managerをインストールしている場合、この管理コードはsetuid rootで実行されるため、容易に悪用される脆弱性があり、悪意のあるログインユーザーやシステムに既に侵入しているマルウェアによって管理者権限が取得される可能性があることにご注意ください。英国のセキュリティ企業Hacker Houseの共同創設者であるMatthew "Hacker Fantastic" Hickey氏が脆弱性の修正を試みたものの、成果が上がらず、今週、ゼロデイ脆弱性攻撃がオンラインで公開されました。Microchip社は、この問題を調査中であると発表しました。
- Gmailの脆弱性を悪用したスパムメール、フィッシングメール、その他の悪質なメールにご注意ください。これらの脆弱性は、メールの「差出人」欄が空白になるというものです。同様の脆弱性を悪用することで、悪意のあるユーザーがメールをユーザーの送信済みボックスに直接送信してしまう可能性があります。これは、以前報告されたGmailのセキュリティ上の問題とほぼ同義です。いずれにせよ、Googleのウェブメールで疑わしいメールに遭遇した場合は、慎重に対処してください。
- T のテーマにこだわり、Recorded Future は、過去に Myspace、Dropbox、LinkedIn、Twitter などから盗んだデータベースを宣伝していた悪名高いハッカー tessa88 を追跡して暴露しました。
- T関連のニュースがさらに続きます。Duo Labsは、最新のMacでクパチーノ風のセキュアブートを強制するAppleのT2セキュリティチップを調査し、その脆弱性を文書化しました。主な脆弱性は、マザーボードに埋め込まれたハードウェアを使用して、ネットワーク経由でチップのファームウェアを改変し、それを回避できる可能性があることです。(何か思い出しましたか?)
- 最後にもう1つ。ESETは、インストール後に不正なコードをダウンロードするAndroidゲーム13種類を悪質と指摘しました。これらのゲームは56万回以上インストールされており、そのうち2種類はトレンドに入っています…
