編集部が選ぶ「みんなに見てほしい」イチオシまとめはこちら

ツイート数カウントくんのトークンが盗まれたようです

原因確定したようなの全然違うタイトルへ。ntddkが大量ブロックにharu067が大量フォローに(ry 何がしたいのかは犯人しか分からない。怪しい認証を踏まないだけでは防げない厄介な問題。
ログ
273752view 43コメント
252

↓「ツイート数カウントくん」作者による説明です。
とりあえず「ツイート数カウントくん」の連携は無効化されたので、使用していた方も特に対応は不要です。

↓続きのようなもの

ツイートまとめ ntddk氏をスパブロするように仕向けた犯人にインタビューしてみた。 2014/06/16 19:40 更新 主たる内容の更新は完全に終了しました。 事の顛末については他の方が作成されたまとめをどうぞ… http://togetter.com/li/679703 とりあえず聞きたいこと聞いてるだけ、意味は全くない感じです。 プロファイリングとかブログ記事書いてPV稼ぐぞとか全くないです。 62057 pv 378 71 users 67

↓本編のようなもの

ぶんちょう @yutopp
なんかブロックしてたんだけれど,そんな操作をした覚えは無いのでつらい…(つらい…)
あほ @ntddk
@yutopp 昨晩から複数のフォロイーから同時にunfollowイベントが飛んでくるので連携アプリ開発者の陰謀かもしれない!!!
あほ @ntddk
昨日からフォロワーが100人近く減って、相互フォロー数人に同じタイミングでブロックされたんだけど、これは集合知が俺を殺しにかかってるのか連携アプリ開発者の陰謀なのか、統合が失調してきた
あほ @ntddk
一晩でフォロワー数5023→4030ってヤバくないですか、あとフォロイーしか観測できてないけどブロックに伴うunfollowイベントが同時に来てるんすよ
あほ @ntddk
発狂しそうになってきた
あほ @ntddk
これ自動ブロックツールにアカウント登録されたとかか
あほ @ntddk
.@fubukiefsf なんか自動ブロックツールみたいなの登録してませんか
Pixiv @mi8pe
ツールのせいにするな。自分が周囲にどう思われているかを知れ
かっと @Ka_t_
ブロッカー集団マシーンブラスターにTogetterのパクリbotまとめ(togetter.com/li/317712)を読み込ませるとntddkが出てくる pic.twitter.com/ISPNHwgGNX
 拡大
あほ @ntddk
集合知に裏切られたので攻殻SAC信者への憎悪が高まりつつある
ATちゃん @atkyoudan
twitter.com/Ka_t_/status/4… @だでぃ子 トゥギャッターなんかに関わったお前が悪い。 pic.twitter.com/36LDOqIil9
 拡大
あほ @ntddk
パクリbotを糾弾するTogetterまとめにコメントしたことでTogetterからパクリbotのリストを作るアプリに自分までパクリbotだと判別されたという話らしい、開発者出てこいや
┌(┌*゚ー゚)┐ @204504bySE
@cho45 ブロッカー集団マシーンブラスターで誤爆が発生しているようです。 twitter.com/Ka_t_/statuses…
8Kは福祉 @cho45
@204504bySE: コメント欄に書きこんでいるユーザもリストアップされます
┌(┌*゚ー゚)┐ @204504bySE
@cho45 これは意図した仕様ということでしょうか?このリストの例だとリストの作者までブロックされることになりますが。
8Kは福祉 @cho45
@204504bySE: 意図した仕様です。ただ、コメントがなければリストの作者自体は含まれません
キムテポドン @KIM_TPDN
ブロッカー軍団マシーンブラスターとntddk氏の集団ブロックは関係ないのでは…。別にこれ操作したユーザーだけがブロックするのであって、集団で特定垢にブロック送るものではないし。
あほ @ntddk
まとめにコメントした人間までブロックの対象にする仕様らしいので、しょうがないですね block.lab.lowreal.net twitter.com/cho45/statuses… 揉め事に関わった人間を野次馬含めて視界から排除するという考えは悪くないとは思います
残りを読む(136)

コメント

偏屈王ぱーぷりん @deep_pa_purin 2014-06-13 20:24:22
ブロックじゃ甘い スパム報告しよう
野良馬 @nobody_oyaji 2014-06-14 03:11:52
要するにTwitter的には「オレ知らんからオマエらで勝手にやれ」という事か。ここまで(しかも現在進行形で)露骨な嫌がらせに対し、何もアクション起こせないサービス使うのも不安があるなァ。
Mastodonを始めて2018 @haretter 2014-06-14 09:03:38
また何も考えずにアプリケーションを認証するマンが大量に犠牲となってしまったか
dodekamin @dodekamin6 2014-06-14 10:49:23
元々の作者に悪意があったら何も考えずに~と言えるだろうけどこのケースは違うような?
野良馬 @nobody_oyaji 2014-06-14 11:16:39
dodekamin6 ただ、作者の垢でもブロックかけられてるっぽいので、被害者のTweetが届いてない模様。
#MSFWIN @MulticolorWorld 2014-06-14 11:36:26
カウントくん作者がアカウントに鍵をかけてしまった。ここで鍵かけるとこの後の解決が凄く難しくなるようなきがするんだけど。
野良馬 @nobody_oyaji 2014-06-14 12:29:46
というか、この対応最悪だろ。ヘタすれば炎上するパターン。せめて連絡取ってからかければいいものを… これじゃ「作者が意図的に仕掛けて、大事になったから削除して逃げた」としかとれん。
たぶ@蛮族 @miyageya31113 2014-06-14 12:37:34
「ある日みんなから無視されるやつ」のほうも是非誰か解決に尽力しておくれ
うにら @riafeed 2014-06-14 13:14:02
そんなときは開き直っちゃえば良いんですよ。この世の中開き直った人間が一番強いのですよ。
紅夏【✧楔✧炎✧愛✧氷✧】 @Maia12_k 2014-06-14 13:18:58
この方(だでぃ子さん)のこと知らないのに、あたしもブロックしてることになってた…なぜ…
野良馬 @nobody_oyaji 2014-06-14 14:47:11
Maia12_k それがこの事件の怖いところで。知らないうちに片棒担いでる(事になってる)という。犯人がブロック対象知ってれば、操作される方は対象を知ってようが知ってまいが関係ないと。
manabu hashimoto @paul1984jp 2014-06-14 15:04:43
これPCの不正操作で刑事事件になっちゃいそうな案件ぽいのに、アプリ開発者呑気だな
堀石 廉 (石華工匠) @Holyithylene 2014-06-14 15:25:49
これ、アプリ開発者が不正進入されてた場合は刑事事件になると思うけれど、アプリ開発者が意図的にやってた場合って何かの罪に問えるんだろうか?
manabu hashimoto @paul1984jp 2014-06-14 18:03:37
Holyithylene アプリ開発者が意図的にやってた場合は不正アクセス禁止法に接触すると思われます。利用許諾にフォローアンフォローを勝手にやりますとか書いてたら話はややこしくなりますが。
Funi @gcfuni 2014-06-14 18:24:55
一般的な話として、認証時に「この連携アプリを認証すると、次の動作を許可します」と出るので、その許可した範疇での動作ならしょうがない気はする。実際に自身で許可してしまっているので。
dodekamin @dodekamin6 2014-06-14 18:39:27
作者さん、身を守るってのそうじゃない(汗)こうなるとtogetter見なくなるだろうし釈明が難しくなるんじゃ・・・メール投げるか相互フォローの人に動いてもらうしかなくなる。
エビフライ @kiruria281 2014-06-14 20:56:31
とりあえず謎フォローはなかったがこのまとめ見るまでアイコンやIDに見覚えのないntddk氏をブロックしているあたり挙動が怪しい。アプリ連携解除するかと見たら無いし、そりゃここ数日通知来ないわけだ。
エビフライ @kiruria281 2014-06-14 20:57:25
ちなみに動作の許可項目にブロックやフォローが合っても、個人のアカウントを正当な理由なく大量のブロックやフォローリクエストする動作は、それが意図的なら違法になる可能性は十分にあるかと。
しもべ @14Silicon 2014-06-14 21:03:51
@ntddk もう勢いにまかせて100個も200個もツイートふぁぼったりしないのでブロック解除してください
ふれーりあ @_dmp 2014-06-14 22:36:46
俺も見てみたらブロックしてたので解除してみる。カウント君は(今は消えてるけど)過去ツイ見たら使ってたし、原因はこれでFAだろうなあ。そもそもntddk氏は知らなかったから、連携アプリが悪さしてたのは確定だと思うけれど。
あほ @ntddk 2014-06-15 00:37:09
公式以外のTwitterクライアントや連携アプリを使うということは、その作者に自分のアカウントの合鍵を渡すということに他なりません。今回のケースは、ツイート数カウントくんというアプリの作者が持っていた合鍵の保管庫が強盗に遭ったようなものです。
あほ @ntddk 2014-06-15 00:43:08
強盗の動機は私への怨恨だそうです。保管庫の管理が杜撰だったこともありますが、大勢の方々を巻き込んでしまった責任の一端は私にあります。
あほ @ntddk 2014-06-15 00:47:03
技術用語を排すると上記のような説明となります。再発防止のため、安易に合鍵を渡さないこと、不要な合鍵は削除することをおすすめします。
あほ @ntddk 2014-06-15 00:54:45
今回は、所謂スパムアプリではないアプリであっても、不正アクセスによって悪用されることがあるという例でした。
あほ @ntddk 2014-06-15 01:01:35
「ツイート数カウントくんが使えなくなったから他の○○に移ろう」といったツイートが散見されますが、そうした安易な考えが被害の遠因です。全ての連携アプリを吟味することを強くお勧めします。
堀石 廉 (石華工匠) @Holyithylene 2014-06-15 09:07:07
paul1984jp twitterのアプリ連携のときに出てくる権限確認では弱い、ということでしょうか。
manabu hashimoto @paul1984jp 2014-06-15 09:44:21
Holyithylene 今回のアプリがフォロー等、アカウントに対する操作を行うことを明示してあれば何の問題も無かったと思います。書いてないのなら、今回の事件のような行為に対する承認としての権限確認ではなかったと解釈されるべきと考えます。と言うよりこれまでの警察の法律の運用能力を考えて検挙できそうだなと感じました。
野良馬 @nobody_oyaji 2014-06-15 09:59:20
というか、アプリ連携というのを皆軽く考えすぎてる気がする。こないだもなんかあったでしょ。「xxxがoooした!」とかのに釣られて、画像見たさにホイホイ許可してSPAMバラまいたバカが多発した事件が。CLOSEした温室に慣れすぎなんじゃないか?安全に見えるアプリでも危険は伴うというイイ例になったかと。
夢乃 @iamdreamers 2014-06-15 12:36:15
ってゆーか、みんなそんなたくさんアプリ連携してるって、普通なの?(二つしか連携していない私が変なんだろうか?)
kakkun61 @kakkun61 2014-06-15 13:21:39
「ツイート数カウントくん アクセストークン流出に関して」 http://app.xmgn.com/tweetcounter/
みのかさご @asako_kawamata 2014-06-15 13:32:47
私も今調べたら連携しているアプリは2つだけでした。
うにら @riafeed 2014-06-15 15:35:08
アプリ自体の削除は、7/14(土) 朝10時過ぎに行っており・・・来月やる予定なの?とか、いや土曜日だから2012年に実施済みだったのかもしくは2018年実施予定なのかとかいろいろ考えたのは俺だけ
クロネコ @96neko 2014-06-15 19:49:27
パクリbotを批判するコメントを書くと自分が攻撃対象になる
ぽかーばるうづき @uzuky 2014-06-15 21:09:52
軽い気持ちでアプリ連携をしないというのは大事ですが,今回は安全に運用してたアプリがサーバ乗っ取りによるトークン流出で暴走した例で,怪しいアプリを連携させたことによるスパム投稿とは違う話な気がします.アプリの数や種類に関係なく起こりうるのが今回の話です. そもそも Twitter 側のアプリの権限の扱いが雑でたった3種類しかないのが問題なので,もっと細かく設定できるようになって欲しいですね.
dodekamin @dodekamin6 2014-06-16 04:32:14
作者さんがコメントを出したようですね。見る限り仕事レベルで復旧に精一杯のようで、これ以上コメントを求めても返答する余裕無いでしょう。精神的に参ってるのはブロックフォローに巻き込まれた人達だけじゃないという事です。
BUFF @geishawaltz 2014-06-16 10:19:38
私もブロックしてたわ。連携アプリの権限を制限してブロックをかけさせないとかできないのかしら?「カウントくん」はツイート数を数えてツイートだけできればいい筈だから、必要ないであろう権限だし。
にせれぶ @2celeb 2014-06-16 12:53:40
これを機にtwitterアプリの権限を見なおしてくれるといいんだけどな。つぶやくだけのアプリにフォロー権限とかブロック権限とかいらんだろうし。
3mのパブリックエネミーちくわ @tikuwa_zero 2014-06-16 14:46:31
プロアマ個人企業その他問わずセキュリティ漏れしたときのダメージはほぼ同じだが、責任の所在と回復力に大きな差があるので、個人作成の連携アプリなんて使わないのが無難。使う場合は自己責任で。
ナスカ-U / C95 [日]西ら-30a @Chiether 2014-06-16 18:17:31
この件は、この件として。権限の細かい設定できるようにしてくださいよ。ツイッターさん! Read&Writeの権限が広すぎるの! ホント! お願い! プリーズ!
nt8500 @kz8500 2014-06-16 19:30:22
盗撮とか児ポ映像、他エログロ満載の「Plays now」のような晒し系の連携アプリくらい、運営は対処すべきだわ。この件も法令違反が関わりそうだけど、進展なければ警察や総務省にも(←これら先が正しいかわからないけど)働きかけていくべきかも。
BUFF @geishawaltz 2014-06-18 16:26:54
能天気な事を言いますが。カウントくんは便利に使っていたのでいい形での復活を希望します。そして今までありがとうございました。
まさらっき@日ト41b @masarakki 2014-06-20 01:25:24
何度OauthのRFC読んでも曖昧になるんだけど クライアントキー/シークレット盗むだけでこんな事できるっけ? 元々各ユーザのアクセストークンを持っているか 最低一回はブラウザにgrant踏ませないとダメな気が
ログインして広告を非表示にする
ログインして広告を非表示にする