Twitterアカウント乗っ取り問題を検証中

アカウントを乗っ取られたらしいという人がいたので、エロい人たちが検証を始めました。 http://togetter.com/li/341363 パスワードを推測されたのではないかというのが、今のところの見解としたいです。ご意見はコメント欄に頂ければありがたいです。
113
まとめ Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求 とあるTwitterのアカウントがハックされる(?) ↓ Tweetを一気に消すアプリ「黒歴史クリーナー」のoauth認証が勝手にされる ↓ ハックされた人のTweetが消えてしまった ↓ ハックされた人が黒歴史クリーナーのサービス全停止を作者に求める「二次被害を防ぐため」 oauthは便利だけど仕組みがわかってないと誰に責任があるのかというのが認識しにくいという欠点がありますね。 580272 pv 5370 625 users 366

↑これまでの経緯はこちらをご覧ください。↑


Anal Shimarazu(アナルシマラズ) @shimarazu

うーむ、主張にアレなところがあったが、実際に登録はされてるのがなあ。いたずらでもなさそうだし。不正アクセスの可能性が高いが、ログをもう一度探ってみるか。

2012-07-19 19:45:03
Anal Shimarazu(アナルシマラズ) @shimarazu

@hiromi_ayase 原因がなにかというのは計りかねてます。おそらくID/PASSの流出だと思うのですが。とりあえずログ洗って原因がわかったらまたツイートします

2012-07-19 19:53:31
えふしん @fshin2000

自動ツイートは他人に迷惑かけるという理由でアウトだけど、自動削除ってアリなんだっけ。

2012-07-20 00:58:01
えふしん @fshin2000

どこかのマシンに該当アカウントのログインクッキーが残ってて比較的近しい人がうっかり該当アカウントで登録してしまったとかないのかなー。黒歴史クリーナーは使った事無いから知らないけど、もしUI上、どのアカ.. http://t.co/3GAjlyOO

2012-07-20 01:14:57
えふしん @fshin2000

この論点をホントに押し進めるなら当事者同士で争うよりツイッター社に見解を求めた方が良い気がするなぁ。一括フォローはユーザーの操作が挟んであってもapi利用規約違反だが、自動削除はわからん。 http://t.co/hQZcKFLB

2012-07-20 01:24:43
えふしん @fshin2000

一応、api利用規約では「ユーザーを混乱させてはいけない」という曖昧なルールはあります。passを盗まれた際に起きる影響が大きいという意味なんだろうけど、包丁を売る売らない議論と同じなので、法律に制定.. http://t.co/t6cQRQjV

2012-07-20 01:44:59
このツイートは権利者によって削除されています。
えふしん @fshin2000

パスワードの互換性がなくて、手持ちの94のうち5消されてたなら、既に指摘あるけど自分の身辺を洗った方が良い。そもそも黒歴史クリーナーはまだ10000アカウントぐらいの登録だから、ランダムなハッキングで.. http://t.co/1Yd5bZ6X

2012-07-20 01:52:31
えふしん @fshin2000

さらっと黒歴史クリーナーの画面みたけど、このサービスはパスワードを知る方法を持ってないんですよね。パスワードを入力するのはツイッターのサイトなので。あと仮に「今月のPW変更」の際にありがちな海外のクラ.. http://t.co/CVer9z7W

2012-07-20 02:04:40
えふしん @fshin2000

@__ @__oMo__ 5アカウントも消えてるのであれば、おそらく、それはないですね。必ずパスワードをツイッターの認証画面に入力しないとアカウント切替できないので。これが1アカウントだけなら認証済み.. http://t.co/G3tXaiKe

2012-07-20 02:13:08
えふしん @fshin2000

@eria02 サードパーティのサービスはパスワードが漏れて云々というトラブルに巻き込まれないように今はなっています。みんなが言ってるのは、このトラブルは「誰でも起きうること」ではなく、「個人的なトラ.. http://t.co/ZNTIYv6n

2012-07-20 02:17:35
ぞりお @zoriorz

アカウントが乗っ取られた時に何をされるのが一番困るかってのも多分人によって違って、過去のツイートを消されるより、自分だったら絶対に言わないであろう発言をツイートされる事の方がダメージが大きいって人だっ.. http://t.co/8fnHcpTO

2012-07-20 02:22:57
えふしん @fshin2000

黒歴史クリーナーが今後似たようなトラブルを減らすなら、間違い認証も含めて、1.誰のアカウントを削除するのかをしっかり明示する(してたらごめん)。2.アカウントフォローさせてDMで進捗報告 3.万全を期.. http://t.co/6MhsV3Zo

2012-07-20 02:24:00
mala @bulkneets

使ってるクライアントがTwitter for iPhoneばかりで、どんな環境でアカウント使い分けてるのかが観測できなくて困る

2012-07-20 02:27:56
えふしん @fshin2000

BOT的な処理で、ツイッターサイトで認証を通して、そのログインクッキーから黒歴史クリーナーに登録するプログラムは結構面倒くさいよ。ツイッターはもはやそんなに簡単にクラックできないですよ。仮に認証が通せ.. http://t.co/SACpYZ2y

2012-07-20 02:31:57
ゆーごく @uu59

http://t.co/auRrJkqf このCSRFで勝手にアプリ認証できたとしても、5アカウント分で踏む必要があるのでシナリオ的に無理があるな

2012-07-20 02:34:12
mala @bulkneets

真剣すぎるのでネタにしないでちょっと真面目に取り扱わないといけない。

2012-07-20 02:35:32
ゆーごく @uu59

無線LANとかでセッション盗まれたていう仮説も、twitterとのやりとりはまずhttpsだろうしやはり5アカウント分というところで不自然になってしまう

2012-07-20 02:35:33
えふしん @fshin2000

@eria02 多分、大体の人は何を求めているかは理解してると思うけど、自分ちの水道が壊れたという理由で、水道局の方を止めろと言ってるように見えてると思う。 http://t.co/UAEjfXV8

2012-07-20 02:36:46
ゆーごく @uu59

@eria02 クリーナーを勝手に設定されていたアカウント5つのうち、何か共通点はありますか? たとえば同じアプリを認証していたとか、パスワードが同じまたはすごく似てたとか、その5アカウントだけよく使.. http://t.co/CFRev9a0

2012-07-20 02:38:10
このツイートは権利者によって削除されています。
mala @bulkneets

皆さん夜間のマジレッサーお疲れ様です。(togetterにログインしないポリシー)

2012-07-20 02:40:50
1 ・・ 9 次へ