【悲報】白猫プロジェクト、運営が全システム管理をネット上に保存、セキュリティなしのURLが公開され崩壊した件

スポンサードリンク
スポンサードリンク

【悲報】白猫プロジェクト、運営が全システム管理をネット上に保存、セキュリティなしのURLが公開され崩壊した件

1: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:38:21.05 ID:ID:BMjPtGwh0.net

275 :Admin ★:2016/12/20(火) 19:32:36.46 ID:???
■該当案件について
URLからアクセスして不正に他人のアカウントを操作し、キャラクターをテロできるかどうかは不明ですが、
http://wcat.colopl.jp/となっておりセキュリティ強化していないので他人から送り届けることはボタンを押すだけでプレゼントのようになってるようであれば恐らく可能です(まともな会社ならhttpsにしてるはずです)

問題が大きくなる可能性もあるので、該当行為をすることを中止して下さい
不正に他人のアカウントを操作している可能性もあるので、不正アクセス禁止法に抵触する可能性があります





引用元: 白猫プロジェクト、運営が全システム管理をネット上に保存、セキュリティなしのURLが公開され崩壊



3: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:40:48.75 ID:BMjPtGwh0

モンストみたいな好きなキャラを10体選んでその中の一体を貰えるイベントが始まる

他人のアカウントで適当な弱キャラを選んでテロができるセキュリティ的な穴が発見される

システムいじられて死亡状態




4: スリーパーホールド(チベット自治区)@\(^o^)/ [ニダ] 2016/12/20(火) 19:41:35.42 ID://VY30C30.net
wwwwww




6: ナガタロックII(庭)@\(^o^)/ [US] 2016/12/20(火) 19:42:01.85 ID:e0d12Q4V0.net
もうやってないが祭りでワロタ




8: ジャンピングエルボーアタック(茸)@\(^o^)/ [US] 2016/12/20(火) 19:43:41.32 ID:mEDlv2Sc0.net
どうせ巻き戻して終了




9: ドラゴンスクリュー(大阪府)@\(^o^)/ [IR] 2016/12/20(火) 19:43:45.25 ID:/5sneM/V0.net
キャラクターをテロの意味が分からん




12: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:45:06.50 ID:sqzuNC0I0.net
>>9
他人のガチャが勝手に引ける

知らないキャラが送りつけられる




13: アンクルホールド(茸)@\(^o^)/ [GB] 2016/12/20(火) 19:45:23.18 ID:9TaZhWL50.net
>>12
なにそれ凄い




16: ニーリフト(SB-iPhone)@\(^o^)/ [US] 2016/12/20(火) 19:45:52.53 ID:P6DPzc+G0.net
>>12
わろた
勝手にガチャ引かれてしかも雑魚キャラだってことか




10: 河津掛け(大阪府)@\(^o^)/ [JP] 2016/12/20(火) 19:44:03.13 ID:KQCJ5SBm0.net
もしもしゲーでしょ?
じゃあどうでもいいわ




11: アンクルホールド(空)@\(^o^)/ [CN] 2016/12/20(火) 19:44:40.94 ID:QH0G7IH40.net
日本語が不自由でわからん




15: ハーフネルソンスープレックス(やわらか銀行)@\(^o^)/ [US] 2016/12/20(火) 19:45:43.09 ID:fVgB2Q7P0.net
なお引けるのは一回きり
勝手に引かれたらおしまい




17: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:46:14.40 ID:/ftzHkqz0.net
customer.csvとか検索すると外国のサイトのものまで引っかかってきちゃうからkokyaku.csvで楽しんでいた思い出




18: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:46:17.70 ID:BMjPtGwh0

他人のガチャを引く→レアキャラをプレゼントする

終わり、逮捕




23: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:46:48.22 ID:sqzuNC0I0.net
>>18
なおなんでもないURLで公開されてるから不正アクセスにはならず誰も逮捕されない模様




19: フォーク攻撃(カナダ)@\(^o^)/ [ニダ] 2016/12/20(火) 19:46:37.91 ID:yVqs03CL0.net
おわった…




20: タイガードライバー(埼玉県)@\(^o^)/ [US] 2016/12/20(火) 19:46:39.50 ID:qPrsDsRL0.net
ここまで経過の解説が下手くそなスレ立て人がいるとは驚き




21: スパイダージャーマン(公衆電話)@\(^o^)/ [CN] 2016/12/20(火) 19:46:40.71 ID:2QoyqOVN0.net
どーでもいい
もっとヤバイことかと思ったら可愛い案件やんけ




22: スターダストプレス(神奈川県)@\(^o^)/ [CA] 2016/12/20(火) 19:46:46.58 ID:hoOMb/qh0.net
不正するような運営だから今更何されても驚かない




24: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN] 2016/12/20(火) 19:47:06.81 ID:L5kx3g5Y0.net
欲しいキャラプレゼントキャンペーンで悩んでたら他人にゴミ選択されるとかひでえ




25: 超竜ボム(大阪府)@\(^o^)/ [AT] 2016/12/20(火) 19:47:33.02 ID:hFVPyia20.net
まーた炎上商法か



26: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:48:11.97 ID:BMjPtGwh0

503 :Admin ★:2016/12/20(火) 19:43:01.28 ID:???
■今回の問題についての解説

http://wcat.colopl.jp/
(コロプラのアドレス)

present-card/
(カードキャンペーンのディレクトリ)

detail?campaignId=1&
(キャンペーンのID初回なので1となっています)


id=●●●●
(ユーザーIDです)

&page=1&
ページ数

cardId=★★★★
(カード【キャラクター】のID)

&selectCardIds
(カードセレクトについての定義)

=&selectNum=10
(選んだカードの数)

&maxSelectNum=10
(選んだカードのID)




27: ラ ケブラーダ(埼玉県)@\(^o^)/ [FR] 2016/12/20(火) 19:48:32.00 ID:BMjPtGwh0

●の部分にユーザーIDを入れることによりユーザーの抽選ページに行きます

★の部分にキャラクターカードIDを入れるとキャラクターが変わります


つまり、現状では
適当な数値を入れることにより
サーバー側の処理後わかりませんが、他人のものを、キャラクターをを指定し引けてしまう可能性は大いにあります(ただし抽選はランダムで、一度引くとロックのようなものがかかり引けなくなる可能性が高いです)


普通であればhttpsによりセキュリティを高めなければいけませんが何もされていません
仮に今回の件がなにもなかったとしてもインタネットを使うゲーム会社としてはセキュリティ意識は低かった可能性はあります

該当行為をすると不正アクセス禁止法に抵触する可能性がありますので絶対にしないように願います




32: ニーリフト(SB-iPhone)@\(^o^)/ [US] 2016/12/20(火) 19:50:33.62 ID:P6DPzc+G0.net
>>26->>27

こんなただの文字列に何十万も課金してたやつはバカらしいと目覚めたんじゃない?




38: ニーリフト(庭)@\(^o^)/ [US] 2016/12/20(火) 19:52:03.35 ID:/JdF7yZs0.net
>>27
ブラックキャット(矢吹神)>>白猫




28: バーニングハンマー(茸)@\(^o^)/ [BR] 2016/12/20(火) 19:48:42.29 ID:daP+0n3D0.net
良運営って言われてたのに




35: ハーフネルソンスープレックス(福岡県)@\(^o^)/ [SA] 2016/12/20(火) 19:51:40.12 ID:VltRK9EF0.net
>>28
ソシャゲの運営に良運営など存在しない。




29: 河津掛け(やわらか銀行)@\(^o^)/ [US] 2016/12/20(火) 19:49:55.23 ID:ucDZQSbV0.net
意味がわからん
糞スレ立てんな




30: エルボーバット(家)@\(^o^)/ [IT] 2016/12/20(火) 19:50:03.12 ID:ZndZLmrL0.net
ソシャゲを全くやらない化石のような俺にわかりやすく説明を




41: フルネルソンスープレックス(dion軍)@\(^o^)/ [US] 2016/12/20(火) 19:52:48.77 ID:sqzuNC0I0.net
>>30
つまりネットのURLに他人のゲームIDを打ち込むと勝手にガチャ引けるってだけ
普通は公開したりしない




50: ヒップアタック(catv?)@\(^o^)/ [CN] 2016/12/20(火) 19:56:29.87 ID:278AsJUU0.net
>>41
詫びあるだろうから早く引いてお目当のもらいつつ詫びでもう一回お目当のもらうのが勝ちか




31: ドラゴンスクリュー(千葉県)@\(^o^)/ [US] 2016/12/20(火) 19:50:32.53 ID:gtP2kie+0.net
URL踏むだけでDB弄るんか…




33: TEKKAMAKI(SB-iPhone)@\(^o^)/ [JP] 2016/12/20(火) 19:50:51.77 ID:/VdmzbjY0.net
ありえないほどセキュリティガバガバ




34: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:50:56.37 ID:/ftzHkqz0.net
駄菓子屋のババアのイチゴ飴並みの仕組み




36: ウエスタンラリアット(大阪府)@\(^o^)/ [DE] 2016/12/20(火) 19:51:42.87 ID:f9Qv3jcD0.net
お馬鹿さんなの?




39: ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU] 2016/12/20(火) 19:52:35.92 ID:/ftzHkqz0.net
マルチステートメントでsudoしてパスワード送信、っと。




40: フォーク攻撃(カナダ)@\(^o^)/ [ニダ] 2016/12/20(火) 19:52:39.66 ID:yVqs03CL0.net
冗談だろ?




43: 逆落とし(catv?)@\(^o^)/ [CN] 2016/12/20(火) 19:53:57.20 ID:PhMta1f00.net
これFGOが似たようなことやらかさなかった?




44: ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN] 2016/12/20(火) 19:54:18.20 ID:L5kx3g5Y0.net
完全にやり方割れて他人にぶっ壊れ送り込むのもゴミ送り込むのもできるようになっててワロタ




45: エルボーバット(福岡県)@\(^o^)/ [PL] 2016/12/20(火) 19:54:22.54 ID:kye5CY7C0.net
ヤバくねこれ




46: 急所攻撃(神奈川県)@\(^o^)/ [ニダ] 2016/12/20(火) 19:54:36.14 ID:j3Ux1Zmt0.net
またまたご冗談を
え?マジなの




48: 男色ドライバー(禿)@\(^o^)/ [JP] 2016/12/20(火) 19:56:01.69 ID:Jt5l24MY0.net
巻き戻して終了じゃん





  


この記事へのコメント

1.  Posted by  名無しクオリティ   投稿日:2016年12月21日 13:55

ちなみに巻き戻しなし隠蔽で無理やり終わらせた模様

2.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:05

スマホゲーの巻き戻しってユーザーが騒ぐほど起こらないよな

3.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:07

HTTPSって通信経路の安全性を確保するための物だから今回の件に関して言えば的外れだぞ

4.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:21

これ巻き戻しおきずに不正者BAN確定もしない状態で終わったぞ。
Pも公式ツイもだんまり。
対象キャラを狙い撃ちで欲しいキャラ確定させたやったもん勝ち発生で炎上しとるわ
この運営マジで頭おかしい

5.  Posted by  名無し   投稿日:2016年12月21日 14:22

もっと簡潔に説明できるだろうに、なんでわざわざ「キャラクターをテロできる」のような意味不明な日本語を使うの?
馬鹿なの?

6.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:23

去年までは良運営だったんだよなぁ
今年に入って少ししてから人が換わったみたいに糞運営化してきた

7.  Posted by  名無し   投稿日:2016年12月21日 14:24

良運営とか言われてた去年まではやってた

8.  Posted by  名無し   投稿日:2016年12月21日 14:28

こういうゲームやってる奴らなんてどーでもいいだろ(笑)
落ち葉にレアって書いて売りつければいい

9.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:36

ゲットメソッドで情報のやり取りとか別段おかしくないが
それを行うまでの環境やシステムつくりがまったくできていないというのは恐ろしいなw

10.  Posted by  名無し   投稿日:2016年12月21日 14:38

この母国語力の無さよ

11.  Posted by  名無しクオリティ   投稿日:2016年12月21日 14:50

https でセキュリティとかそういう問題じゃねーから
これ、仕様上の欠陥だから

12.  Posted by  名無し   投稿日:2016年12月21日 15:16

時代は#コンパスに変わりつつある

13.  Posted by     投稿日:2016年12月21日 15:40

���Υ������ȤϺ��������ޤ�����

14.  Posted by  名無しクオリティ   投稿日:2016年12月21日 16:05

どっちにしろ他人のIDを打ち込まないと意図してできないなら不正アクセスで一発いけるんじゃね?
幾ら作りが杜撰でも通常動作ではなくて意図した手順が必要な時点でやった側が無知なはずがないし

と思ったら※4の対応でワラタ

15.  Posted by  名無しクオリティ   投稿日:2016年12月21日 16:52

※4
これでやったもん勝ちに思えるとか頭大丈夫かよ

16.  Posted by  名無しクオリティ   投稿日:2016年12月21日 17:32

※15
やらないとやったならやったもん勝ちだろ。こんなものやってる時点で負けだがな

コメントの投稿