1 : ラ ケブラーダ(埼玉県)@\(^o^)/ [FR]:2016/12/20(火) 19:38:21.05 ID:BMjPtGwh0

https://i1.wp.com/i.imgur.com/Y31XNdF.jpg 275 :Admin ★:2016/12/20(火) 19:32:36.46 ID:???
■該当案件について
URLからアクセスして不正に他人のアカウントを操作し、キャラクターをテロできるかどうかは不明ですが、 となっておりセキュリティ強化していないので他人から送り届けることはボタンを押すだけでプレゼントのようになってるようであれば恐らく可能です(まともな会社ならhttpsにしてるはずです)

問題が大きくなる可能性もあるので、該当行為をすることを中止して下さい
不正に他人のアカウントを操作している可能性もあるので、不正アクセス禁止法に抵触する可能性があります
http://wcat.colopl.jp/

  1. 2 : ニーリフト(禿)@\(^o^)/ [JP]:2016/12/20(火) 19:39:13.98 ID:tohYG/3h0

    桜井日奈子は俺がいただきます

  2. 3 : ラ ケブラーダ(埼玉県)@\(^o^)/ [FR]:2016/12/20(火) 19:40:48.75 ID:BMjPtGwh0

    モンストみたいな好きなキャラを10体選んでその中の一体を貰えるイベントが始まる

    他人のアカウントで適当な弱キャラを選んでテロができるセキュリティ的な穴が発見される

    システムいじられて死亡状態

  3. 17 : ミッドナイトエクスプレス(チベット自治区)@\(^o^)/ [EU]:2016/12/20(火) 19:46:14.40 ID:/ftzHkqz0

    customer.csvとか検索すると外国のサイトのものまで引っかかってきちゃうからkokyaku.csvで楽しんでいた思い出

  4. 24 : ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN]:2016/12/20(火) 19:47:06.81 ID:L5kx3g5Y0

    欲しいキャラプレゼントキャンペーンで悩んでたら他人にゴミ選択されるとかひでえ

  5. 27 : ラ ケブラーダ(埼玉県)@\(^o^)/ [FR]:2016/12/20(火) 19:48:32.00 ID:BMjPtGwh0

    ●の部分にユーザーIDを入れることによりユーザーの抽選ページに行きます

    ★の部分にキャラクターカードIDを入れるとキャラクターが変わります


    つまり、現状では
    適当な数値を入れることにより
    サーバー側の処理後わかりませんが、他人のものを、キャラクターをを指定し引けてしまう可能性は大いにあります(ただし抽選はランダムで、一度引くとロックのようなものがかかり引けなくなる可能性が高いです)


    普通であればhttpsによりセキュリティを高めなければいけませんが何もされていません
    仮に今回の件がなにもなかったとしてもインタネットを使うゲーム会社としてはセキュリティ意識は低かった可能性はあります

    該当行為をすると不正アクセス禁止法に抵触する可能性がありますので絶対にしないように願います

  6. 42 : ジャストフェイスロック(チベット自治区)@\(^o^)/ [ニダ]:2016/12/20(火) 19:52:58.85 ID:JQHh1l8c0

    糞ゲヲタって運営がどうのとかよくスレ立てるけど
    大半の人はそのゲーム自体に興味ない
    勝手に騙されテロ

  7. 44 : ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN]:2016/12/20(火) 19:54:18.20 ID:L5kx3g5Y0

    完全にやり方割れて他人にぶっ壊れ送り込むのもゴミ送り込むのもできるようになっててワロタ

  8. 55 : キングコングニードロップ(庭)@\(^o^)/ [BR]:2016/12/20(火) 19:59:20.31 ID:2gH5dege0

    ゲーム板でスレ建ててる日本語もまともに理解してない出来損ないがニュー速に建てても意味が通じん

  9. 59 : 閃光妖術(新疆ウイグル自治区)@\(^o^)/ [TW]:2016/12/20(火) 20:00:26.39 ID:HCornt8u0

    fateGOでは強キャラの配布コードをネタキャラのコードと入れ換えて掲示板に貼られてたりしてたな

  10. 62 : シューティングスタープレス(庭)@\(^o^)/ [US]:2016/12/20(火) 20:02:07.73 ID:SR8kgdRg0

    やっぱり白猫民は黒猫民と違って民度低いな
    黒猫ユーザーはこんなことしないわ

  11. 71 : 毒霧(神奈川県)@\(^o^)/ [ニダ]:2016/12/20(火) 20:03:28.27 ID:xC3Tv6Xx0

    すまんまだこんなクソゲーやってる奴おる?
    ポッキー姉妹の時に辞めたんだよなぁ…

  12. 73 : ジャストフェイスロック(大阪府)@\(^o^)/ [DE]:2016/12/20(火) 20:04:42.82 ID:HkifzNtY0

    バカじゃないんだから勿論cookieで認証するようになってるよね?

  13. 100 : ネックハンギングツリー(茸)@\(^o^)/ [ニダ]:2016/12/20(火) 20:08:58.47 ID:xhXIbLyi0

    よくわからないから文系にわかるように教えて

  14. 104 : カーフブランディング(大阪府)@\(^o^)/ [US]:2016/12/20(火) 20:09:47.15 ID:CXO44P740

    http://imgur.com/04U2Fyj.jpg
    ttp://imgur.com/04U2Fyj.jpg
    キャラidさえ分かればデータあるキャラなら過去の無償配布キャラとか期間限定のネタキャラを10体まで放り込めるけど育成素材が3体ぶんくらいしか配布されないからハム周回は必要だし下手に期間限定のキャラなんか選んだら専用素材入手できずに育成できなくて手詰まりになる

  15. 115 : ときめきメモリアル(埼玉県)@\(^o^)/ [US]:2016/12/20(火) 20:12:24.15 ID:RMgSaWFm0

    勝手にガチャがひけるレベルの不具合?
    セキュリティ強化してガチャ何回か分還元で終わるような案件じゃないの?

    個人情報漏洩とか全キャラ削除されたとかそらぐらいの祭りかと思ったぜ。

  16. 150 : 逆落とし(catv?)@\(^o^)/ [US]:2016/12/20(火) 20:21:35.00 ID:HVW0/3lP0

    最低限ユーザID+IDに付与されたトークンで状態を管理するのが常識
    ユーザIDだけでOKって

  17. 158 : フルネルソンスープレックス(dion軍)@\(^o^)/ [US]:2016/12/20(火) 20:23:30.50 ID:sqzuNC0I0

    だから不正アクセスですらないんだよなぁ
    不正アクセスってのは鍵かけてる前提だから

    鍵空いてる公衆便所に入っても不法侵入にはならない

  18. 169 : ジャストフェイスロック(大阪府)@\(^o^)/ [DE]:2016/12/20(火) 20:28:15.75 ID:HkifzNtY0

    そもそもこのシステムだと運営は正規のアクセスか他人のいたずらかを
    後から確認することもできないんじゃ…

  19. 180 : 腕ひしぎ十字固め(大阪府)@\(^o^)/ [ニダ]:2016/12/20(火) 20:30:43.76 ID:kDo0CqUn0

    よくわからんからガンダムで例えてくれ

  20. 197 : キドクラッチ(神奈川県)@\(^o^)/ [GB]:2016/12/20(火) 20:37:25.02 ID:ATLIDrq/0

    すまん、サルでも分かるように教えてくれ

  21. 205 : 逆落とし(庭)@\(^o^)/ [FR]:2016/12/20(火) 20:41:36.42 ID:ZecskGFm0

    運営がヤバイっていうよりこれを実行した人の人生がヤバイな
    不正アクセスでタイーホ案件だろ

  22. 226 : ミラノ作 どどんスズスロウン(千葉県)@\(^o^)/ [NL]:2016/12/20(火) 20:53:04.14 ID:92sZRlE20

    ヤフオクに限定キャラが大量出品されるのか

  23. 233 : ミラノ作 どどんスズスロウン(千葉県)@\(^o^)/ [NL]:2016/12/20(火) 20:55:20.07 ID:92sZRlE20

    これシステム止めてないみたいだけど大丈夫なんかな
    被害拡大するばっかりだぞ

  24. 234 : ニールキック(catv?)@\(^o^)/ [JP]:2016/12/20(火) 20:55:36.34 ID:ql0cyKuG0

    手順とかクソどうでもいいから
    この穴でどんなメリットがありどんな弊害が起こるのさ

  25. 245 : ジャストフェイスロック(大阪府)@\(^o^)/ [AU]:2016/12/20(火) 21:00:31.37 ID:KAeSYzpb0

    よく分からん。ドラゴンボールで例えてくれよ

  26. 248 : ムーンサルトプレス(福岡県)@\(^o^)/ [CA]:2016/12/20(火) 21:01:19.77 ID:dKux+BJN0

    でもこれ抽選で手に入るの過去の雑魚キャラばっかだからな コレクション的なキャラばかり

  27. 268 : ショルダーアームブリーカー(やわらか銀行)@\(^o^)/ [IN]:2016/12/20(火) 21:09:14.85 ID:L5kx3g5Y0

    https://www.youtube.com/watch?v=SanxhiFxSjk

  28. 281 : カーフブランディング(大阪府)@\(^o^)/ [US]:2016/12/20(火) 21:15:25.93 ID:CXO44P740

    http://imgur.com/5UhVwIA.jpg
    ttp://imgur.com/5UhVwIA.jpg

  29. 288 : 不知火(新疆ウイグル自治区)@\(^o^)/ [ニダ]:2016/12/20(火) 21:20:32.83 ID:QpP9nunc0

    データ追跡はわりとまともな会社。
    banと詫び石かな。訴訟するかは知らん。

  30. 296 : フランケンシュタイナー(庭)@\(^o^)/ [BR]:2016/12/20(火) 21:27:26.92 ID:Nl9V8j3p0

    他人の垢にいくらでもテロできる以上BANなんてできないでしょ
    知らないうちにキャラ増えてましたで筋が通るからな
    どうすんだよこれ

  31. 326 : ファイナルカット(SB-iPhone)@\(^o^)/ [JP]:2016/12/20(火) 21:49:23.76 ID:1/RXVc3H0

    これもう、一旦これで手に入れたキャラリセット→好きな1体を再選出可能
    くらいにしないとだめなやつ

  32. 353 : キン肉バスター(茸)@\(^o^)/ [ニダ]:2016/12/20(火) 22:08:37.68 ID:B8eDxJ6D0

    現在の目玉限定キャラも無料でゲット可能
    課金者憤慨待ったなし


    946 名無しさん@お腹いっぱい。 sage 2016/12/20(火) 21:58:26.05 0
    バージョンあげたら
    プレゼントマーク付いた

    http://i.imgur.com/ZvpgvXn.jpg

    クリスマス協力☆暴威
    73093

  33. 372 : スパイダージャーマン(埼玉県)@\(^o^)/ [CA]:2016/12/20(火) 22:37:06.27 ID:+Ueubory0

    これがパズドラやモンストみたいなメジャーなソシャゲだったら
    かなり大規模な祭りになってたろうね

  34. 375 : パイルドライバー(SB-iPhone)@\(^o^)/ [GB]:2016/12/20(火) 22:41:29.42 ID:bfBeDiC30

    イマイチ燃えない理由
    ・マーク付いてるからどうせ回収される
    ・無料ガチャなので実質損害なし

  35. 392 : アンクルホールド(大阪府)@\(^o^)/ [US]:2016/12/20(火) 22:58:07.48 ID:AawPCQro0

    URLとんでもブラウザからはダメって出るんだけどどうやってやるの 
    10さいのぼくにもわかるように教えて

  36. 398 : エルボーバット(新疆ウイグル自治区)@\(^o^)/ [EU]:2016/12/20(火) 23:03:38.16 ID:HrYMdSvL0

    あーなるほど
    チュートリアルクリア前に飛ばされるようになったのね
    じゃまたURLの一部を書き換えればキャラ選択のページはいけるのかもねえ

  37. 399 : バックドロップ(東京都)@\(^o^)/ [ニダ]:2016/12/20(火) 23:03:42.25 ID:NLXPVw1Y0

    ハッキング成功したよ!!と自慢してるだけの馬鹿なのか?
    それとも風説の流布で株価を下げたい馬鹿なのか?
    どちらにせよやった奴らはタイーホで糸冬

  38. 404 : トラースキック(兵庫県)@\(^o^)/ [CN]:2016/12/20(火) 23:13:42.36 ID:qNyAH/nP0

    パラメータ丸見えでユーザID送信で制御とか
    よっぽど納期間に合わんかったのか

  39. 414 : エルボーバット(広島県)@\(^o^)/ [ニダ]:2016/12/20(火) 23:31:50.66 ID:BOt6guqE0

    ソシャゲのシステムとか外部から見たら何がなんだかわからないんだから、
    外部の人間にもわかるように専門用語外して問題点をわかりやすく説明出来るかどうかが
    共感を得て拡散されるかどうかの分水嶺になるわな

  40. 424 : 閃光妖術(茸)@\(^o^)/ [JP]:2016/12/20(火) 23:39:37.81 ID:7NDyHStL0

    ハッキングの天才であるお前らならこれくらいの問題簡単に解けるよな?
    http://ksnctf.sweetduet.info/problem/31

  41. 430 : ダイビングフットスタンプ(京都府)@\(^o^)/ [GB]:2016/12/20(火) 23:50:04.50 ID:KdBSy9Sb0

    これもうシステム作り直しにはならんの?
    詫び石配ったところでサービスすぐに開始できるレベルの話なんか?

  42. 435 : かかと落とし(家)@\(^o^)/ [US]:2016/12/20(火) 23:57:01.40 ID:jc1jXHdF0

    ホームページの作りが雑だったってこと?
    ジオシティーズ全盛の頃にはけっこーあったわな、
    ディレクトリーを変えたら、ファイルがゴソッと見えちゃってたりとか

  43. 440 : テキサスクローバーホールド(catv?)@\(^o^)/ [US]:2016/12/21(水) 00:01:17.37 ID:pVp9GxCH0

    白猫というかコロプラ自体明らかに人不足だな。
    教育もできてなさそうだし。

  44. 446 : 垂直落下式DDT(兵庫県)@\(^o^)/ [FR]:2016/12/21(水) 00:03:06.35 ID:vFV5+pkv0

    これつまりあれよな
    友達なら持ってる奴10体詰めてスタールーン強制配布でプレゼント終了とかできるのよな

  45. 457 : ツームストンパイルドライバー(SB-iPhone)@\(^o^)/ [DE]:2016/12/21(水) 00:10:15.89 ID:lKKXkxfs0

    まあ、このゲームよく知らんが巻き戻して、お詫びアイテム配って終わりだろw

  46. 468 : ニールキック(埼玉県)@\(^o^)/ [US]:2016/12/21(水) 00:18:54.38 ID:FwGma6dN0

    昔やってたMMOが中華に鯖ハックされてたけど
    そういうレベルじゃねえな

  47. 470 : マスク剥ぎ(dion軍)@\(^o^)/ [US]:2016/12/21(水) 00:21:00.28 ID:iRLaj4Ha0

    だから何でブラウザからデータ見れるようにしてんの?ブラウザゲーじゃないでしょ?これ

  48. 483 : ボ ラギノール(東京都)@\(^o^)/ [EU]:2016/12/21(水) 00:25:55.07 ID:+SakwDwU0

    なんかピンとこねーなー
    どれ位ヤバイんや?

  49. 485 : ストマッククロー(福岡県)@\(^o^)/ [GB]:2016/12/21(水) 00:27:19.78 ID:mXGtI2t70

    もう落ち着いたみたいだし経緯をしろそくあたりにまとめてほしいな
    この状態を知りもしないユーザーがほとんどな気がする

  50. 498 : テキサスクローバーホールド(catv?)@\(^o^)/ [US]:2016/12/21(水) 00:37:53.72 ID:pVp9GxCH0

    あおりや荒れが好きなまとめサイトなら
    こんなおいしいネタまとめててもおかしくないんだけどな。
    1つぐらいしかまとめてないのはなんかおかしいな。

  51. 523 : リバースパワースラム(SB-iPhone)@\(^o^)/ [CN]:2016/12/21(水) 01:44:31.70 ID:g1dOXB4l0

    何が起こってるのか理解した
    プレゼント対象外のキャラも選べるんだな
    詫び石とロールバックしかないだろ

  52. 533 : リバースパワースラム(SB-iPhone)@\(^o^)/ [CN]:2016/12/21(水) 02:01:04.38 ID:g1dOXB4l0

    ロールバックして抽選じゃなくてほしいキャラを選べるようにしたらいいんだよ
    それしかない

  53. 547 : ジャストフェイスロック(catv?)@\(^o^)/ [JP]:2016/12/21(水) 02:36:40.31 ID:pGCI6nmv0

    これって、窓口にとりあえず勝手に引かれましたって言えばもう一回回せるんかな?

  54. 563 : ショルダーアームブリーカー(神奈川県)@\(^o^)/ [ニダ]:2016/12/21(水) 02:59:03.91 ID:simIMA1p0

    つーかBAN検討って何だよ
    そこはBANしますだろ

  55. 566 : 男色ドライバー(兵庫県)@\(^o^)/ [ニダ]:2016/12/21(水) 03:21:41.34 ID:hyaWPgfD0

    許してニャン♪
    http://cat.sc/antenna/wp-content/uploads/2016/05/4e8a29f3-480x480.jpg

  56. 576 : かかと落とし(大阪府)@\(^o^)/ [US]:2016/12/21(水) 04:36:28.57 ID:3XnlvSm10

    https://www.youtube.com/watch?v=SqODyhERfjA
    自称専門家がドヤァして便乗売名行為してるけどコイツなにいってんの?

  57. 579 :名無しさん@涙目です。(韓国)@\(^o^)/ [ニダ]:2016/12/21(水) 05:05:52.77 ID:jv3wAKKm

    http://i.imgur.com/X29MhAE.jpg
    http://i.imgur.com/8RwkS6z.jpg
    http://i.imgur.com/EXtiAQA.jpg

  58. 603 : パイルドライバー(catv?)@\(^o^)/ [ニダ]:2016/12/21(水) 08:09:56.23 ID:Q95VmpTJ0

    俺だったら受け取った数値をサーバー側でかけ算したり足し算したりしてそれをIDとする

    それでもガバガバなんだけどね
    こんなんコーディングの時点で気づいて実際にやってみたりするんだが
    技術力足りなすぎ

  59. 607 : セントーン(家)@\(^o^)/ [GB]:2016/12/21(水) 08:27:00.79 ID:RASMs1+f0

    これ騒いでた連中って不正が許せない!じゃなくて(勿論、面白くはないし粛清しろとは思うが)、
    俺に目当てのキャラ寄越せ!or抽選やり直せ!ってゴネ得連中ばっかじゃねーかって思ったわ。
    そりゃこんなアホな仕組み作ったコロプラはダメダメに決まってるが、
    アクセスログやらなんやら調べりゃおかしいかどうかの区別がつかない訳がない。
    そんな技術ねーって決めつけて、だから全回収!ってお前もアホだろって感じ。

引用元: http://hayabusa3.2ch.sc/test/read.so/news/1482230301/