一言でいうと、普通は抜けない情報を抜いているうえに、アカウントIDとSQLインジェクションなどのやり方を組みわせることで住所やクレジットカードの番号を抜く一歩手前まで来ているからなのだ。
537:既にその名前は使われています@\(^o^)/:2025/01/28(火) 12:57:00.19 ID:Ej52JzgX
理解してないガイジ多すぎだが情報は一切抜かれてねーし個人情報もチャットも何も漏れてねーよクライアントに送られてる情報を読み取っただけでサーバから強奪したわけではないから何も漏れてない公開されたのもキャラクター情報であって個人情報ではないここで騒いでるのはサブキャラの名前を自宅住所とかリアル名にしてるアホかな?
まず、例のツールでサブキャラの行動やチャット履歴などGMでしか見れない情報が見れた。これ自体も問題ではある。ただ、これで済めば、まだ傷は浅い。
もっとやばいのはスクエニのウェブサービスでチョメチョメすることである。さすがにここら辺は対策してあると思いたいが、慣れてしない人だとウェブAPIから飛んできた値をチェックせず、そのまま、SQLに突っ込んでしまうことがある。人によってはSQLから飛んできた情報をそのままJSONで出してしまうこともある。俺も一度やらかしそうになったことがあるが、クレジットカードの情報をデーターベースの保存しようとするコードを書いてしまったことがある。さすがにこれはほかの人が気づいて止められたので、大事には至らなかったが…運悪く通ってしまうことがある。スクエニに限らず、契約社員という雇用形態を好き好んで使っているところは、タイミング的な問題―時給が安いとか雇止めされやすいとか残業代を出さないとかで―でこの手のセキュリティに詳しい人がいないことがあるのだ。
そして、こういう事情で脆弱性あるシステムができてしまえば、あとは簡単で――例えばアカウントIDがわかってしまえば、ウェブAPIのパラメーターに
;SELECT * FROM payment_infomation WHERE accountid = [どこかでとってきたアカウントID];
みたいなやつを突っ込むと、なぜか取れてはいけない情報が取れてしまうことがある。
むろん、スクエニみたいなところであれば、ペネトレーションテストとかやってると信じたいが、ペネトレーションテストもただではない。そこらへんについて詳しくない取締役がお金がかかるという理由でペネトレーションテストをしないことがあるにはあるし、人件費をケチりたいという理由でQA関係になれた人間をリストラし、残された人、たいていの場合、QAとインフラチームやコードを書く人が心身を削りながらウェブアプリを作ってしまい、そのまま脆弱性のあるウェブアプリが世に出てしまうことがある。(脆弱性を埋めるのが大変だし、やったらすぐばれるし、莫大な費用を請求しないといけないので、あえて放置するというパターンも受託開発だとあるらしいが、スクエニだとさすがにないとは思う)
なお、私個人としてはゲームガードを突っ込むのは反対である。このゲームガードはHyperVやVMWareをチートツールと判断することがあり、非常にストレスなのだ。
もう引退してログインしてないネカマなんだけど ずっとログインしてない人でもサブキャラ特定されちゃったりするん? カワイイ女子だと思ってくれてたみんなの夢を壊したくない