カテゴリー
ネットの事件

Steam の開発者アカウントを使ってサービスをポルノ倉庫にする濫用事例

PCゲームプラットフォーム Steam で提供されていた EZ VR Video Player というVRビューワーアプリが、アプリと無関係なポルノ画像の交換場所になっていたそうです。

4月にMMO Fallout ブログが指摘したところによれば、このビューワアプリがリリースされる以前から、modやゲームデータを共有するワークショップに多数のデータファイルがアップロードされており、その中に多数のポルノ画像が含まれていたということ。

Gamespark の解説によれば、Steam のワークショップというのは『「メーカーによる審査はなく、ユーザーが自由にダウンロード可能」という形式』で運営されることも多いそうで、設定次第では誰が何を置くのも自由な緩い場所なのでしょう。Gamespark の記事でも盗作のアップロードなどトラブル事例が紹介されています。

しかし、今回リリース「前」にワークショップにデータをアップロードできていたらしいということは、このVRアプリの開発者かその関係者がデータをアップロードしていたということで、単にアプリを購入したユーザーがやったわけではないことを意味するようです。

このMMO Fallout の最初の指摘や、それを受けた reddit での議論からだいぶ時間が経っていますが、先週になって開発者自信による開発停止の発表があり、その直後にSteam を運営する Valve 社による配布停止が発生したようです。掲示板やワークショップ等は今でも閲覧できていて、指摘されたワークショップには一般のデータしか表示されていないようで、開発者かValve社のいずれかが削除したのでしょう。掲示板など他の場所ではまだ書き込みが残ってるのですが、アプリの配布を停止にしても何もかもは止めないのですね。

Hacker News では、この件から連想されるとして Docker Hub に違法コピーのPCソフトウェアを保管するユーザーの存在も紹介されています。ポルノの内容がアジア系だったことや、今も残る掲示板等に中国語の書き込みも多いことから、グレートファイアウォールでアクセスできる海外のサイトが厳しく限定・監視されている中国のユーザーが、開発者としてアクセスできるサービスで大きなファイルを保存できる場所を荒らしているのではという考察も出ています。

アプリの開発には関連するファイルの容量が大きくなることもあり、開発者向けのサービスを隠れ蓑に別のファイルを保管したり交換したりする濫用ユーザーの存在はは各サービスの提供社を困らせる存在でしょうね。

via Hacker News

カテゴリー
ネットの事件

英銀行の「正しい電話番号」確認サイト、JSONで全74000番号を晒す作りで議論を呼ぶ

イギリスの大手バークレーズ銀行、利用者の電話詐欺被害対策として「バークレイズ銀行の電話番号として正しいか調べる」サイトを公開しているのですが、その実装に問題があるのではという疑義がHacker News で上がり議論となっています。

Phone number checker サイトでは、電話番号を一つ入力するフォームが置かれ、ここに電話番号を入力すると、74000個ある正式な電話番号の場合は「この番号へ掛けても大丈夫です」という結果が出ます。

大手とはいえ、一つの銀行が74000個も番号を抱えてるのはすごいですね。フリーダイヤルから支店や部署まですべての番号を含むにしても。

議論となっているのは、このチェッカがクライアントサイドだけで動いているらしいこと。JSONファイルが読み込まれていて、このファイルに74000個の電話番号がベタ書きされています。


{
"numbers": [
"0800000097",
"0800001011",
"0800008008",
"0800111777",
"0800201612",
"0800222200",
"0800222800",
"0800227222",
"0800281435",
"0800282390",
"0800289289",
"0800289888",
"0800289989",

最初に声を上げたブログが、入力フォームの形式チェックがあまりちゃんとしていない(ハイフンを含んだりイギリスの国番号44から始まる形式を正しく認識できない等)やJSONファイルのサイズ(1.3Mbytes)が大きすぎることを問題にしていた(これぐらい許容範囲だとか、正規表現で書けばよいとか圧縮をちゃんとすればよいとか)ため、Hacker News での議論も多方向に拡散してしまっているのですが、主要な問題は偽メールや偽電話でだまそうとしている勢力が簡単に正式な電話番号のリストを入手できるところにあるのではないかなと思います。

発信者番号通知も改竄可能なので、騙す側に改竄するための正しい番号のリストを教えているという話でもあります。このチェッカが正しく理解されていないと、電話を「受けた時」にこのチェッカで正しいとされたから電話の相手を信用してもいいと思ってしまったりしてしまう可能性もあります。

カテゴリー
ネットの事件

Internet Explorer 3.0 チームにいた若手エンジニアの回想ツイート

子供がオンラインでプログラミングを学習できるサイト Hour of Code の創立者である ハディ・パルトヴィさん(Hadi Partovi)は、Internet Explorer 3.0 の開発者の一人だったのですね。初期の「ブラウザ戦争」にマイクロソフトという巨大企業側から関わった経験をツイートされています。

パルトヴィ氏は22歳の時、たった9人だった IE開発チームに入っています。初期のワールドワイドウェブ(WWW)の標準的な地位を占めていたネットスケープナビゲーターのシェアは95%。当時のIEはというと、技術的には2年近く遅れていたと。

以下、長連文ツイートから面白かった箇所を抜き出します。

  • チームは採用を絞りに絞った
  • ボスの言葉「できるといったやれ、できないのは構わない。できないことを引き受けて失敗するとチームが止まる。ノーと言うことを覚えなさい」
  • モチベーターとしてのビル・ゲイツ氏のメモ
  • IE3.0開発の発表日は真珠湾攻撃にちなんだ1995年12月7日。先制された戦争をやり返すためならAppleやAOLとも組んだ
  • Netscapeのマイク・アンドリーセン氏の次の言葉を壁に貼って闘志を燃やした「Netscapeによって、Windowsはもうすぐ品質の悪いデバイスドライバ集みたいなものになるだろう」
  • 3食を共に取り、深夜にフーズボールで遊んだ
  • 離婚や壊れた家庭や不眠症その他の悪い事も起こったが、2万人の会社内に人生を賭けた100人のチームがあった。(この部分と働きすぎの描写については、後で誇張しすぎたという訂正記事を出されています)
  • IE5で勝利した後、マイクロソフトは勝利したと考え、パラノイド的であることを止め、IEはジョークの対象になってしまった
  • だめになっていくIEを見るのがつらく、1999年に退社した

エキサイティングな環境に22歳の移民として入り、すばらしいメンバーと一緒に短期間で勝利を収めたことへの誇らしさが伝わる体験談でした。結果成功したから良い思い出になったという見方もできますが、馬車馬のように働ける時期に働くに足るチームと出会えたことがプラスになっているし、その後の起業等の成功にもつながっているのでしょうね。