セキュのためのユーザーへのパスワード変更強制なのに、
そのページへメアドと誕生日だけで入れるシステムって基地外だろ。
第三者に推測し易すすぎ。
多分現場ではその仕様に疑問が出てたけど
上層部から「いいからやれ」とでも指令されたんだろうな
PSNにまた別の脆弱性、流出情報でパスワード再設定と不正ログインが可能
日本とアジアを除く世界では約25日ぶりに復旧したソニーのプレイステーション・ネットワーク / Qriocity で、また別のセキュリティ問題が見つかっています。今回の問題は、アカウントのメールアドレスと誕生日だけでパスワードの再設定ができてしまうもの。PSNはサービス再開後の接続にパスワードの再設定を強制していますが、この手法ではさらにまたパスワードを再設定できてしまいます。第三者がパスワードをリセットして不正にログインした場合、個人情報の閲覧や登録クレジットカードを使ったウォレットへのチャージ、買い物などが可能になります。あくまで「メールと誕生日が知られていれば、あるいは推測できれば」が条件ではあるものの、届くメールを確認する必要はありません。またPSN / Qriocity では4月の不正侵入で世界7700万アカウントのすべてについて住所・氏名・性別・生年月日・ログインメールアドレスなどが漏洩しているため、どちらも第三者にすでに把握されていることを前提とすべき情報です。このためソニーでは、PSNサービス再開にあたってのパスワード再設定は PSNアカウントをアクティベートしたPS3本体 (アカウントとヒモ付けして認証済みのPS3) からしか実行できないように対策をしていました。
現時点では具体的な手法は公表されていないものの、この現象を確認・実証してソニーに通報したサイト Nyleveia によれば、PS3からではなくウェブ経由のパスワードリセット手続きに欠陥あった (要求するはずのトークン確認が不十分だった) とされています。ソニーのコメントや公式な対応は明らかになっていませんが、通報からしばらくしてPSNログインと関係するウェブサイトやパスワードリセットページはメンテナンスに入っています。
PSNログインの脆弱性といえば、2008年にもPCから第三者にパスワードを変更され勝手にログインされる欠陥が見つかっていました。
(略)
経産省大手柄!?PSNアカウントには再ハックの危険性がある!!! : オレ的ゲーム速報@刃
復活「プレステ・ネットワーク」に、また脆弱性 (WIRED VISION)| nikkei BPnet 〈日経BPネット〉
