私は旅行中だったのだが、オフィスに戻ると、キャッチアップすべきニュースがたくさんあるのが常だ。今は、Gawker Mediaのセキュリティ侵害に関する詳細を読んでいるところだ。Gawker/Gizmodo/Lifehackerのコメントアカウント100万以上に、先週末障害が起き、50万以上の電子メールアドレスおよび18万5000もの復号されたパスワードがファイル共有サイト「The Pirate Bay」で共有されている。
月曜日、アサイー ベリーのプロモーションを行うTwitterスパムが発生した。多くの人が、そうするべきではないにも関わらず、複数のサイトで同じパスワードを使用しているため、障害が起きたGawkerアカウントは、Twitterアカウントへのアクセスを可能にしてしまった…
もしあなたがGawker関連のサイトを使用しているなら、関連パスワードは全て更新する必要がある。
このことは非常に興味深いが、私が知りたいと思っているのは、Gawkerに関連したもっと別の事柄についてだ。この6月、「Goatse Security」というグループが、AT&Tウェブサーバの脆弱性を悪用し、iPadカスタマー電子メールアドレスおよびネットワークIDを収集した。
ウォールストリート・ジャーナルによれば、「Goatse Securityの行動を擁護するブログ記事では、Goatse SecurityはGawkerにデータを提供したのみで、データは後で廃棄したと、同グループのメンバーは語っている。」
同じGoatseブログの記事で、私は次のように語ったと言われている:「この開示はまったく無責任なものだった。」
私はこの脆弱性の開示が無責任なものと考えたのだろうか?
いや、違う。
私は脆弱性の悪用が無責任であると考えたのだろうか?
まぁ多少は。つまり、彼らはiPadを購入し、自分達自身を悪用することができたのだから、脆弱性を立証するのに何も他の人々の名前を収集する必要は無かったのだ… が、違う、と言うことにしよう。脆弱性の悪用することさえ、「全く」無責任だった。
では、私が全く無責任だと考えたのは、何だったのだろう?
それは、「未編集のデータセット」を「Gawker Media」に引き渡したことだ。
何故か?
なぜなら、Goatse SecurityがどれほどGawker/ValleywagのRemy SternとRyan Tateを信用しているにしても(私も彼らは信頼できると確信しているが)、Goatse SecurityはAT&Tのカスタマ情報をGawkerのセキュリティインフラに任せるべきではなかった。
結局のところ、6カ月後にGawkerはハッキングされた:
画像はSlateの「Gawkerパスワードをハッキングされましたか?」から
そして現在、これらのiPadアドレスがどこに行き着いたのか、誰が知っているのだろうか?
できることなら、FBIの調査終了後、データがGawkerのサーバから削除されていると良いのだが。
私は今年の6月、Ryan Tateにメールを出し、iPadデータセットがどのように送信されたのかを尋ねた。暗号化されていたのか、それとも暗号化されていなかったのだろうか。しかし返事はもらっていない… Ryanはあのとき、忙しかったのに違いないと思う。
iPadデータセットはどのように、そしてどんなフォーマットで、Gawkerに送られたのだろうか? そしてどのように、そしていつ、削除されたのだろうか?
— ショーン —
月曜日、アサイー ベリーのプロモーションを行うTwitterスパムが発生した。多くの人が、そうするべきではないにも関わらず、複数のサイトで同じパスワードを使用しているため、障害が起きたGawkerアカウントは、Twitterアカウントへのアクセスを可能にしてしまった…
もしあなたがGawker関連のサイトを使用しているなら、関連パスワードは全て更新する必要がある。
このことは非常に興味深いが、私が知りたいと思っているのは、Gawkerに関連したもっと別の事柄についてだ。この6月、「Goatse Security」というグループが、AT&Tウェブサーバの脆弱性を悪用し、iPadカスタマー電子メールアドレスおよびネットワークIDを収集した。
ウォールストリート・ジャーナルによれば、「Goatse Securityの行動を擁護するブログ記事では、Goatse SecurityはGawkerにデータを提供したのみで、データは後で廃棄したと、同グループのメンバーは語っている。」
同じGoatseブログの記事で、私は次のように語ったと言われている:「この開示はまったく無責任なものだった。」
私はこの脆弱性の開示が無責任なものと考えたのだろうか?
いや、違う。
私は脆弱性の悪用が無責任であると考えたのだろうか?
まぁ多少は。つまり、彼らはiPadを購入し、自分達自身を悪用することができたのだから、脆弱性を立証するのに何も他の人々の名前を収集する必要は無かったのだ… が、違う、と言うことにしよう。脆弱性の悪用することさえ、「全く」無責任だった。
では、私が全く無責任だと考えたのは、何だったのだろう?
それは、「未編集のデータセット」を「Gawker Media」に引き渡したことだ。
何故か?
なぜなら、Goatse SecurityがどれほどGawker/ValleywagのRemy SternとRyan Tateを信用しているにしても(私も彼らは信頼できると確信しているが)、Goatse SecurityはAT&Tのカスタマ情報をGawkerのセキュリティインフラに任せるべきではなかった。
結局のところ、6カ月後にGawkerはハッキングされた:
画像はSlateの「Gawkerパスワードをハッキングされましたか?」から
そして現在、これらのiPadアドレスがどこに行き着いたのか、誰が知っているのだろうか?
できることなら、FBIの調査終了後、データがGawkerのサーバから削除されていると良いのだが。
私は今年の6月、Ryan Tateにメールを出し、iPadデータセットがどのように送信されたのかを尋ねた。暗号化されていたのか、それとも暗号化されていなかったのだろうか。しかし返事はもらっていない… Ryanはあのとき、忙しかったのに違いないと思う。
iPadデータセットはどのように、そしてどんなフォーマットで、Gawkerに送られたのだろうか? そしてどのように、そしていつ、削除されたのだろうか?
— ショーン —
