サイバー攻撃で仮想通貨1500万円分引き出した少年が書類送検 →その方法が天才的すぎるw について

サイバー攻撃で仮想通貨1500万円分引き出した少年が書類送検 →その方法が天才的すぎるwwwwww : はちま起稿
について。

画像



・ 仮想通貨「モナコイン」を顧客から預かるサービス「Monappy(モナッピー)」(営業停止中)に昨年、サイバー攻撃を仕掛け、運営会社からモナコイン約1500万円相当(当時のレート)を詐取したなどとして、警視庁は14日、宇都宮市の少年(18)を電子計算機使用詐欺と組織的犯罪処罰法違反(犯罪収益の隠匿)の疑いで書類送検し、発表した。容疑を認めているという。
 
・同庁によると、仮想通貨流出事件の摘発は全国で初めて
 
・サイバー犯罪対策課によると、少年は昨年8~9月、モナッピーの送金システムの欠陥を悪用して誤作動させ、運営会社が管理していたモナコイン約9万7千モナ(約1500万円相当)を外部の口座に送金させて詐取。
 
・悪用されたのは「ギフトコード」というモナッピーの送金機能。コードを入力すると自分あてに贈られた分のモナコインを受け取ることができるが、短時間に大量に操作すると誤作動で複数回送金されてしまうシステム上の欠陥があった。
 
・欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。オンライン上のモナッピーのウォレット(口座)からモナコイン全量を奪った。


全文


モナコインは使ってないし、当然システム的な事は全く知らないが
この手のコンピュータの処理の事なら想像は出来る。

結論から言うと「負荷テスト」が甘かったって事だな。もしかしたらまともなテストすらしてないのかも知れない。

トランザクションの扱い方やロックの方法とかアトミックな更新方法ってのはデータベース(MBMS)のシステムによってマチマチというか、、、それぞれ「特徴」があってかなり精通していないと、他人が操作してる最中のトランザクションが別の人に見えたり(ファントムリード)、更新に失敗したりと色々と障害が出るもんです。

問い合わせに使うSQLも素人が書くと簡単にセキュリティ的にNGな構文になったりします。

それだけに、システムを作るにはコードを書くよりテストを実施する機関を長くして徹底的にバグを洗い出すのが必須です。

以前、PostgreSQLとMySQLの違いを表にして記事を書いた事があります。
PostgreSQLとMySQL、どっち使ってる? について。
まぁ普通、企業ならリレーショナルデータベースを使うなら「オラクル(か、精々SQLサーバー)」なのが普通ですが(´・∀・`)
(オラクルは説明しようとすると難しいのでw)

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック