Tweetviteの脆弱性を利用したワンクリック詐欺

無難な駄目人間 @rokudenashi

【拡散希望】【興味があったらリツイート】【相互なんちゃら委員会に興味がなかったら見なかったことに】これはひどい http://tweetvite.com/event/mfpcnight/rsvp/M

2010-09-08 10:23:39

無難な駄目人間 @rokudenashi

これ取り消すことできないのか

2010-09-08 10:24:11

ユユ @_01

なんで私これ勝手にmaybeとかなってんの…全く記憶にねーよ http://tweetvite.com/event/mfpcnight/rsvp/M

2010-09-08 10:29:16

ユユ @_01

は？つーかこれクリックするごとに勝手にmaybeとかなる、、どうして…

2010-09-08 10:32:19

nyontan @nyontan

これ踏むと勝手にMaybeになるこわい「相互フォロー推進委員会の夜」 http://tweetvite.com/event/mfpcnight/rsvp/M

2010-09-08 10:35:18

nyontan @nyontan

@herbetica だよねー。URLの末尾だよねーこれ。

2010-09-08 10:36:13

無難な駄目人間 @rokudenashi

tweetviteにOAuthの許可出してると http://tweetvite.com/event/mfpcnight/rsvp/M みたいなURL踏むだけでログインしてなくてもYesやNoにされちゃうからtweetviteの許可は毎回消しておいた方がいいかもしれない

2010-09-08 10:36:31

さざき @Sazaki33

http://twitter.com/rokudenashi/status/23870767870 此処に載ってるURLのOAuth許可したら相互なんたら委員会のオフ会にMaybeになった。一応Noに直しといたけど、リストから消せないのがイラッと来る。

2010-09-08 10:44:27

ペナンガル @Penangal

URLを踏む前にちゃんと最後まで読むこと。約束だよ！

2010-09-08 10:47:14

takano32 @takano32

oAuthってそういうものなので、キケンだと思うならRevokeしてください。 http://bit.ly/cCyhcC

2010-09-08 10:50:51

さざき @Sazaki33

あれか一番後ろの/resvp/MがMaybeでYがYes、NがNoになってるんだろうな。

2010-09-08 10:55:39

無難な駄目人間 @rokudenashi

@takano32 これはtweetviteの実装の問題じゃね？

2010-09-08 10:58:53

takano32 @takano32

@rokudenashi そうですね。騙されたと感じた人はこれを機に自身のTwitterの使い方においてtweetviteは信用できないサイトと認識してRevokeするのが正しいと思います。

2010-09-08 11:01:37

ういにゃん|フリーランスUnityエンジニアDJ Youtuber @ui_nyan

ｗｗｗ RT: うける RT: マジか RT: @ui_nyan http://tinyurl.com/2cj42ep

2010-09-08 11:17:54

ペナンガル @Penangal

短縮URLと併用されると破壊力が増すかもしれないなあ　この手法

2010-09-08 11:17:58

無難な駄目人間 @rokudenashi

https://twitter.com/ui_nyan/status/23875041494 → http://tinyurl.com/preview.php?num=2cj42ep → http://j.mp/agsYEw+

2010-09-08 11:20:55

無難な駄目人間 @rokudenashi

tweetvite、<img>でもいけるのか・・・ http://d.hatena.ne.jp/rokudenashi/20100908/1283913678

2010-09-08 11:46:10

nyontan @nyontan

rokudenashiさんのせいで気付かないうちにYESになってる人が出てきたのでそろそろ怒られる

2010-09-08 11:53:53

さざき @Sazaki33

Noの人が全員Yesにすると委員会メンバーより多くなるんだよな……ｺﾞｸﾘ。委員会を囲む会。だけどこれじゃいじめか。 RT @tyourou_: 相互ブロック委員会を実況するオフとかしたくね？ｗｗｗｗｗ

2010-09-08 20:29:17

さざき @Sazaki33

@QewWyuki もしかするとこういうURLを踏んだのかもしれません。 http://twitter.com/rokudenashi/status/23870767870 これ踏んでOAuth認証するとMならMaybe、YならYes、NならNoと表明してしまうので。

2010-09-08 20:34:56

さざき @Sazaki33

@QewWyuki 僕もこれ踏んでMaybeになったんですよ。ただ参加したくないし本当はリストから削除したかったけど、できないっぽいんですよね。だからNoに変更と。嫌がらせではなくてそうやって妥協してNoにしてる人も多いのかもです。

2010-09-08 20:43:51

さざき @Sazaki33

お！やった！Noのリストが消されたらしい！自分の名前が消えてて嬉しいわ。これは踏んでも大丈夫な奴 http://tweetvite.com/event/mfpcnight

2010-09-08 21:16:31

無難な駄目人間 @rokudenashi

Tweetviteのアレ、OAuthをtwitterで拡張した（？）/oauth/authenticateっていうAPI使ってるんですけど、これはすでにOAuthの許可してた場合はリダイレクトだけでユーザーには何も見せずにアクセストークン取れるんですよ

2010-09-08 22:08:14

無難な駄目人間 @rokudenashi

/oauth/authenticateのAPIはxAuthみたいな申請は必要なくて、どのアプリからでも使えるんです　なんでもいいんでOAuthでログインしようとしたときにURLの/oauth/authorizeを/oauth/authenticateに変えるだけで試せます

2010-09-08 22:11:00

ymrl @ymrl

相互フォロー推進委員会のイベント、NoとMaybeからも参加費を徴収するという記述が削除されてる

2010-09-09 14:17:09

いま話題のタグ