UNIX的なアレ

UNIX的なこととかいろいろ

slideshareにはいつの間にかに他のユーザーでログインしている致命的なバグがある

先ほど気づいたのですが、かなり危険なバグかつ脆弱性なので手短に共有します。

他人でいつの間にかログインしていた

f:id:wadap:20130415104901p:plain

facebook上のTLに流れてきたslideshareへのリンクを踏んで普通に資料を読んでいました。最初は気付かなかったのですが、なぜか右上にあるアイコンが自分のものではないアイコンが出ています。

ウチの会社の社長のアカウントなのですが、意図せずに勝手にユーザーアカウントが切り替わっています。

コメントも可能

f:id:wadap:20130415104910p:plain

ちょっと下にいくと、コメントができる欄がありますがここにも自分のアカウントではなくアカウントに切り替わっています。アイコンのURLが同一だからキャッシュしているなどではなく、完全に別ユーザーとしてログインをしている状態になっています。非常に危険な状態。

この時点で明らかにおかしいので本人に伝えました。

※上記のキャプチャはコメント後に取得したキャプチャです。

コメント投稿をしてみた

f:id:wadap:20130415110241j:plain

本人の了承を得た上で、当たり障りないコメントをslideshare上でしてみました。そのままslideshare上にコメントは反映され、facebookコネクトしているためfacebookのTimeline上にも反映されています。

このバグは、slideshare上だけでおきる問題ではなくfacebookコネクトを利用している場合は、アカウントをハックすることもできてしまうという問題があります。

いまできる対策は?

まず、slidesharefacebookを接続している人は連携を切ったほうがいいです。

これで被害をslideshare内だけに留めることができます。 勝手に他人のアカウントにスイッチしてしまった件自体は、恐らくパスワードを変更しただけでは防ぐことは難しいと思います。 再現性がまだ不明ですので、slideshare内で防ぐ方法は退会以外ではまだわかりません。

素晴らしいサービスですし、利用者も多いサービスなので早急な対応をお願いしたいところです。