元Gizmodo記者、名前を「Slackbot」に変えて数カ月間発見されず
(theverge.com)元Gizmodoライター、名前を「Slackbot」に変えて数カ月間発見されず
- 元GizmodoライターのTom McKayは会社を去った後、自分の名前を「Slackbot」に変更し、数カ月にわたって管理者の目を逃れてSlackで活動していた。
- McKayはプロフィール写真をSlackbotアイコンに似せて変更し、特殊文字を使うことで、Slackですでに使われていた「Slackbot」という名前を利用できた。
- この変装により、McKayのアカウントは削除されないまま数カ月間存在し続け、同僚にボットのようなメッセージを送ることができた。
MicrosoftによるActivision Blizzardの687億ドル買収の次の段階は?
- 英国の規制当局がMicrosoftによるActivision Blizzard買収に打撃を与えた。
- Microsoftは取引を維持するために戦わなければならず、今後数週間のうちにEUの重要な判断が予定されている。
GN⁺の見解:
- この記事は、技術的ないたずらとセキュリティの重要性に関する興味深い事例を示している。Tom McKayの創造的な変装は、企業のセキュリティシステムと管理上の抜け穴を浮き彫りにしている。
- MicrosoftとActivision Blizzardの取引は、テック業界に大きな影響を与え得る重要な出来事であり、企業買収と競争法規への関心を呼び起こしている。
- こうした出来事は、ソフトウェアエンジニアにセキュリティと企業ポリシーの重要性を再認識させ、業界動向への意識を高めるきっかけとなる。
1件のコメント
Hacker Newsの意見
元従業員がモデムラックコントローラモジュールに
Ringingというプロビジョニングプロファイルを作成し、128Kbit ISDNサービスを1年以上気付かれずに使用していた。2016年、あるコンサルティング会社でSlack上で互いの名前を変更できたという逸話の共有。
名前変更を制限する方法では問題は解決しないと指摘し、実際にJiraという名前の人もいるだろうと言及。
会社が顧客ダッシュボードをワイルドカードサブドメインで設定したときに発生する問題を説明。
Unicode文字を使ったいたずらの話と、それを検知するvimプラグインの紹介。
サービスアカウントに偽装して目立たなくする戦略を称賛。
会社がコンピュータ詐欺・濫用法を用いてこのようなトリックに対処できる点に言及。
Slackで名前変更を制限しないことが大企業にとってセキュリティ問題を引き起こしうるという意見。
Slackで元従業員がslackbotに偽装したものの、人々が彼に気付き、Tomと呼ぶなどして発覚した事実を指摘。
ある従業員が会社を去った後もSlackアカウントが無効化されず、秘密のチャンネルを作って友人たちとやり取りしていた。
企業ではシングルサインオンシステムを使ってこのような問題を解決できるという提案。