Twitterアカウント乗っ取り問題を検証中
-
- いいね!25
Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求
とあるTwitterのアカウントがハックされる(?)
↓
Tweetを一気に消すアプリ「黒歴史クリーナー」のoauth認証が勝手にされる
↓
ハックされた人のTweetが消えてしまった
↓
ハックされた人が黒歴史クリーナーのサービス全停止を作者に求める「二次被害を防ぐため」
oauthは便利だけど仕組みがわかってないと誰に責任があるのかというのが認識しにくいという欠点がありますね。
578765 pv
5370
625 users
366
↑これまでの経緯はこちらをご覧ください。↑
おはよう寄生虫♡
@ninjaniki22
うーむ、主張にアレなところがあったが、実際に登録はされてるのがなあ。いたずらでもなさそうだし。不正アクセスの可能性が高いが、ログをもう一度探ってみるか。
2012-07-19 19:45:03
おはよう寄生虫♡
@ninjaniki22
@hiromi_ayase 原因がなにかというのは計りかねてます。おそらくID/PASSの流出だと思うのですが。とりあえずログ洗って原因がわかったらまたツイートします
2012-07-19 19:53:31
えふしん
@fshin2000
どこかのマシンに該当アカウントのログインクッキーが残ってて比較的近しい人がうっかり該当アカウントで登録してしまったとかないのかなー。黒歴史クリーナーは使った事無いから知らないけど、もしUI上、どのアカ.. http://t.co/3GAjlyOO
2012-07-20 01:14:57
えふしん
@fshin2000
この論点をホントに押し進めるなら当事者同士で争うよりツイッター社に見解を求めた方が良い気がするなぁ。一括フォローはユーザーの操作が挟んであってもapi利用規約違反だが、自動削除はわからん。 http://t.co/hQZcKFLB
2012-07-20 01:24:43
えふしん
@fshin2000
一応、api利用規約では「ユーザーを混乱させてはいけない」という曖昧なルールはあります。passを盗まれた際に起きる影響が大きいという意味なんだろうけど、包丁を売る売らない議論と同じなので、法律に制定.. http://t.co/t6cQRQjV
2012-07-20 01:44:59
えふしん
@fshin2000
パスワードの互換性がなくて、手持ちの94のうち5消されてたなら、既に指摘あるけど自分の身辺を洗った方が良い。そもそも黒歴史クリーナーはまだ10000アカウントぐらいの登録だから、ランダムなハッキングで.. http://t.co/1Yd5bZ6X
2012-07-20 01:52:31
えふしん
@fshin2000
さらっと黒歴史クリーナーの画面みたけど、このサービスはパスワードを知る方法を持ってないんですよね。パスワードを入力するのはツイッターのサイトなので。あと仮に「今月のPW変更」の際にありがちな海外のクラ.. http://t.co/CVer9z7W
2012-07-20 02:04:40
えふしん
@fshin2000
@__ @__oMo__ 5アカウントも消えてるのであれば、おそらく、それはないですね。必ずパスワードをツイッターの認証画面に入力しないとアカウント切替できないので。これが1アカウントだけなら認証済み.. http://t.co/G3tXaiKe
2012-07-20 02:13:08
えふしん
@fshin2000
@eria02 サードパーティのサービスはパスワードが漏れて云々というトラブルに巻き込まれないように今はなっています。みんなが言ってるのは、このトラブルは「誰でも起きうること」ではなく、「個人的なトラ.. http://t.co/ZNTIYv6n
2012-07-20 02:17:35
ぞりお
@zoriorz
アカウントが乗っ取られた時に何をされるのが一番困るかってのも多分人によって違って、過去のツイートを消されるより、自分だったら絶対に言わないであろう発言をツイートされる事の方がダメージが大きいって人だっ.. http://t.co/8fnHcpTO
2012-07-20 02:22:57
えふしん
@fshin2000
黒歴史クリーナーが今後似たようなトラブルを減らすなら、間違い認証も含めて、1.誰のアカウントを削除するのかをしっかり明示する(してたらごめん)。2.アカウントフォローさせてDMで進捗報告 3.万全を期.. http://t.co/6MhsV3Zo
2012-07-20 02:24:00
えふしん
@fshin2000
BOT的な処理で、ツイッターサイトで認証を通して、そのログインクッキーから黒歴史クリーナーに登録するプログラムは結構面倒くさいよ。ツイッターはもはやそんなに簡単にクラックできないですよ。仮に認証が通せ.. http://t.co/SACpYZ2y
2012-07-20 02:31:57
ゆーごく
@uu59
http://t.co/auRrJkqf このCSRFで勝手にアプリ認証できたとしても、5アカウント分で踏む必要があるのでシナリオ的に無理があるな
2012-07-20 02:34:12
ゆーごく
@uu59
無線LANとかでセッション盗まれたていう仮説も、twitterとのやりとりはまずhttpsだろうしやはり5アカウント分というところで不自然になってしまう
2012-07-20 02:35:33
えふしん
@fshin2000
@eria02 多分、大体の人は何を求めているかは理解してると思うけど、自分ちの水道が壊れたという理由で、水道局の方を止めろと言ってるように見えてると思う。 http://t.co/UAEjfXV8
2012-07-20 02:36:46
ゆーごく
@uu59
@eria02 クリーナーを勝手に設定されていたアカウント5つのうち、何か共通点はありますか? たとえば同じアプリを認証していたとか、パスワードが同じまたはすごく似てたとか、その5アカウントだけよく使.. http://t.co/CFRev9a0
2012-07-20 02:38:10