- この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。
- noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、正規の仕事としては請け負っていない
この記事には、9月30日付けと、10月1日付けでnoteに報告した脆弱性についての解説を後ほど追記します。誠実な対応が取られないのであれば、未修正の状態でも公開します。
- 広報がおかしいことをやると、その企業に所属している社員が恥をかくことになるし、見ていてつらいのでちゃんとして欲しい。
- noteは、まず何よりも、第一報 https://note.jp/n/n3e6451c9b147 の「一般的なIPアドレスから、個人情報を特定することはできません」について明確に訂正すべきである。
- 第二報 https://note.jp/n/naf3775e93a58 でマシになったかと思いきや第一報の訂正ではなく、第二報も掲載後に配信されたメール文面にも相変わらず「一般的なIPアドレスから、個人情報を特定することはできません」が入っていた。
- 参考 https://twitter.com/bakera/status/1294997463581958145 https://twitter.com/bw_kazuma_2525/status/1295029021374324738
- noteが何故こんなに延焼しているのかといえば「こいつら個人情報とかプライバシーとか何も分かっちゃいないな、親切な私が教えてあげないと」という状態になっているからであり、法務やら弁護士に相談なんかもしたんだろうが、第一報を訂正していない時点で何も分かっちゃいない。
- 9月30日付けで、最終報と思われるリリースが打たれたが https://note.jp/n/n2115642a4e45 「現在、すべてのサービスは適正かつセキュリティ上、問題ない状況に改善されております。」という記載が含まれていた。
- おいおいおいおい本当か〜、まともにセキュリティ診断なりしていたら、普通はこんなこと書けねえんだよ、と思って軽く調べてみたら、早速脆弱性を見つけたので、深津にDMした。10月1日にも追加で報告をしている。
- 自分が報告した問題はある程度、攻撃に前提条件が必要なものであるが「現在、すべてのサービスは適正かつセキュリティ上、問題ない状況に改善されております」という記述が、欺瞞に満ちていると感じさせるに十分なものだった。
以上