パスワードもオリジナルでPINコードも設定してるのにLINEが乗っ取られた | More Access! More Fun!
設定したPINはデバイスのものだったのか、それともLINEのものだったのか確認してレポートしてほしい。結構重要な確認ポイントだと思うのだが。元LINEの中の人だったならなおさら重要なので確認して追記してほしい。
よんだ。
元記事を読む限り、参照先はLINEのPINコード設定の記事なので、デバイスのPINを設定した事との誤認という可能性は限りなく低いとは思います。
ただ、さすがにPINコードによるセキュリティ機能があっさり破られたという状況だと、もはやLINEのサービスにおける安全性は相当低いと思われるので、どうなんだろうと疑問をもっているのが正直な所です。
PINコードが誕生日であったとか、他のサイトのリカバリ関連の文字列と類似していたとか、または、安易な数値(0000であったり、1234であったりと)であったと仮定しても、このケースが事実であればもはや内部漏洩が一連の犯罪に絡んでいるという事がほぼ確定的になるぐらいのインパクトだと思うんですよね。
さすがにそんな事はない(仮に、アカウント名はシステムから抜けたとしても、さすがにパスワードを可逆暗号化しているというのは想定し辛いです。理由は、パスワードの再発行機能は、通知機能ではなく、再設定機能ですから、その事からも保存されているパスワードはハッシュ化されたものであると想定しています、そう考えてパスワードが内部の人間であっても見れる可能性は低い為、アカウントハックは難しい)と考えているのですが。
認証済み情報のハイジャックができるじゃないかと言う人もいるでしょうが、LINEのアカウント情報更新時はパスワード認証が行われるので、パスワードが不明な状態からいきなりアカウントを奪うという結果には結びつかないかと。
せいぜい一時的にアカウントに多重ログインされる程度のものだと思います。
さらにPINコードまで設定してあっさり突破されるというのは、もはやシステムとして相当致命的な欠陥があるか、または、唯一残されているのは、例えば、Android端末なので、セキュリティの低い設定で利用している(GooglePlay以外からアプリをインストールしているケース等)場合に、別なツール経由で操作が抜かれているケースが想定されますが、それはPIN云々とは別な話ではあるのですが、ちょっとこの記事からは状況がわかりませんね。
ただ、さすがに世界展開している企業が、そこまで初歩的なミスをしているとは思えないし、LINEのPIN設定ではなく、デバイスのPIN設定でしたという方が個人的には飲み込める部分ではあるのですが。
うーん、最近この手の相談を自分も受けており、PIN設定と電話番号の登録を必須でお願いしているのですが、根本的にPIN機能が役に立たないという事であれば、もはやLINEは使わないで下さいとしかいえなくなるのだが…。