Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ
自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 - Qiita
概要 ある朝自宅に神奈川県警が乗り込んできた。 (なお自宅は神奈川県ではない) どうやら俺はTwitterにモロ画像を投稿していたらしい。 「間違いなくこの家から投稿されていた。プロバイダにも確認済みだ。」 「(ハンドルネーム)というアカウント使ってるでしょ」 「心当たりあるでしょ?」 「(ブランド名)のTシャツ持ってるでしょ?」 おやっ、何かがおかしいです。 想定される経緯 自宅サーバーではTwiGaTen( https://twigaten.204504byse.info/ )というWebサイトが稼動している。 そしてこいつはTwitterアカウントでログインしたアカウントのタイムラインを24時間365日収集し続けている。Twitterの仕様上、これは時々ログイン履歴として記録される。 そして警察はモロ画像をうpしたアカウントのログイン履歴を見て… 「固定回線からうpか。バカめ。」 「
トランプ大統領夫人のメールアドレスをFacebookから探し当てたハッカーの手法
ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。 ベルギー北部の人口8万人の町アールストを愛する […] ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。 ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。 OEPS! @FLOTUS haar privé mailadres lekt! Vriendelijk op gewe
弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog
平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ
サービスを提供するにあたって取得されたくないアカウント名が集まっているライブラリが欲しいんですけど〜みたいな時 - その手の平は尻もつかめるさ
例えば `logout` みたいなユーザ名を取得されてしまうと,ユーザ側からすると不気味に見えるし,URL設計が終了している時などに脆弱性になり得る (とは言うものの,そもそもそういった脆弱性は根本的に防ぐべきだし,URL設計を終了させてはならない). ので,タイトルのようなことをpostしたら知見がモリモリ集まってきた.ありがとうございます. 取得させたくないアカウント名を集めてあるライブラリ欲しい気がする.authとかlogoutとかdataとか……— アドセンスクリックお願いします太郎 (@moznion) 2017年4月10日 @moznion 所得させたくないアカウント名リストならこういうレポジトリがあります https://t.co/uyYJxaFbrX— kosuge (@9m) 2017年4月10日 @moznion このリストに追加で日本向けに regist っていうアカ
個人特定と「そういう趣味はないのでご安心を」というガソリンについて - 今日も得る物なしZ
8万超フォロワーの匿名アカウント・たらればさん @tarareba722 が教えるツイッターの極意。フォロワーを増やすための心づかいとは? | コルクのブログ 相手は匿名アカウント。「編集者」だということ以外は、年齢も、性別も、所属も、もちろん本名もさっぱりわかりません。 でもそこで引き下がらない佐渡島さん。 たらればさんのツイートを分析し、目星をつけ、知り合いの編集者に「御社に『たられば』さんはいませんか?」と連絡をしました。 当初は「うちにそんなSNSが得意な人間がいるわけない」と一笑に付されたそうですが、「いいえ、そんなことはありません。間違いなく近くにいるはずです」と説得。鬼か。 そしてついに「うちの部下に、それらしき人間がいます」と、見事に特定。鬼だった。 この時点でクソなんだが、その後のツイートのほうがもっとクソだった。 あまり詳しく言うと推測できてしまうので、ぼんやりした言い
まさにプロの犯行!? Twitterの鍵アカを自在に開けさせる達人女子にその手口を聞いてきた
背景に合わせてこんばんは、ひにしです。本日は、とある達人との待ち合わせで渋谷に来ています。 ところで、この「トゥギャッチ」はTwitterの旬な話題をお届けしているメディアなわけで、その読者であるみなさんなら、1度はあるのではないでしょうか? 「この鍵アカを覗き見してええええ!」 と思ったことが…! ちなみに、鍵アカとは非公開Twitterアカウントのこと。フォロワーしかツイートを閲覧できないアカウントをこう呼びます。 今日は、合コンなどで知り合った男のTwitterアカウントの特定や、鍵アカを約8割の確率で開けさせてきた「鍵アカ解除の達人女子」がどんなテクニックを使っているのかを惜しみなく披露してくれるとのことなので、パリピの巣窟・渋谷までのこのこやってきたというわけです。 鍵アカ解除の達人はこんな女子! こじあけさん(24歳) 都内在住の会社員。合コンなどで知り合った男性に“興味ありま
ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性
セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレミアムナンバーという電話番号にかけた電話の通話料は、通常より高い。通話料の差分は、電話サービスの提供元に支払われる。 ダイヤルQ2は電話越しに何らかのサービスを提供して、電話料金で利用料を徴収できる、手軽な仕組みだった。その利用例は、投資顧問、アダルト、占い、人生相談、義援金、ダイヤルアップISPなどに利用されていた。ダイヤルQ2自体は2014年に終わったが、海外ではまだ同等の仕組みをもつサービス
そのメールアドレス、現在も使っていますか? - クックパッド開発者ブログ
こんにちは。ユーザーファースト推進室ディレクターの大黒です。 ありがたいことにクックパッドは今年で20年目をむかえ、数多くのユーザーに利用されるまでに成長しました。それ故に発生する課題もあり、今回はその中でもユーザー登録に使われているメールアドレスの課題と対策をご紹介したいと思います。 ユーザー登録の仕組み クックパッドのユーザー登録では、下記の項目が必要となります。 メールアドレス パスワード 郵便番号 生年月日 ※iOSアプリでは郵便番号と生年月日は任意入力となります SNSアカウント認証や認証コードでのアクティベートを採用するサービスが今では主流ですが、20年続くサービスであれば一般的なユーザー登録フローではないでしょうか。しかしながら最近のスマートフォンユーザーの多くはメールを使わないという実態も分かっているため、ユーザー登録にメールアドレスを使い続けるかどうかは、別途議論を進めて
Twitterのアカウントが凍結されました (追記あり: その後、凍結解除されました) - 29%の純情な感情
4月8日(金)の朝、出勤して「さぁて、今週もあと1日がんばるか〜」とか思っていたくらいのタイミングで奥さんから連絡があって、どうやらぼくの Twitter アカウントが凍結されているとのことだった。 慌ててウェブブラウザからアクセスしてみると、たしかにその旨が表示されている。本当に凍結されてしまったようだ。しかし、意外とふつうにアクセスできて、自分の過去のツイートをさかのぼって閲覧することができるし、他の人のツイートも見える、メンションされれば通知もくる。 「私からあなたの姿は見えます声も聞こえます、けど、あなたには私の姿は見えず声も聞こえず」という状況、まわりに「インターステラーっぽい」って言われてたしかにその通りだった。 困ったことに、凍結に関して思い当たることがひとつもない。4月7日(木)の夜から8日(金)の朝にかけては、むしろ twitter.com にアクセスすらしていなかったと
AppStoreの個人アカウントだけど実は法人、というのをもっと調べてみた。
注意 この調査は厳密なものではなく個人の趣味レベルで適当に調べたものだから情報を鵜呑みにしない。 知った所で何も得しない。 「俺のストーカー」の製作者はさっさと名乗りでてください。 間違ってたら連絡ください。 調査方法 通信情報やその他の情報をあれこれ見たりなんかしたりして、調べます。 あと推理。 ほぼ推測の域をでないものと思ってください。 また、法人っぽい個人アカウントのあたりの付け方としては、 ブースト広告を利用してランキングを著しく上げているのに個人アカウントだ、とか、 これ絶対法人でつくってんだろうなぁってところをあたっていくことにしています。 本当に個人開発者である場合も多々あります。 前回の記事について「こんなクオリティのものは法人が作ってるに決っている」という意見を言っていた人がいましたが、それは間違っています。 個人開発者でもあれ以上のクオリティのゲームを作っている人はゴロ
Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明
By Zlatko Unger ウェブサービスに登録したアカウントを守るために、自動生成パスワードや2段階認証を使うといった方法を用いることが多いものですが、時には思いもよらぬところが抜け穴になってしまうこともあるようです。Amazonのサービスを利用していた「Eric」というユーザーは、自身のアカウント情報がAmazonの問い合わせ窓口であるカスタマーサービスを経由して流出していたことを突き止め、どれだけログイン情報のセキュリティを高めても、効果がない場合もあることを明らかにしています。 Amazon’s customer service backdoor — Hacker Daily — Medium https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4 ソフトウェアエンジニアのEric
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ - Qiita
AWSアカウントを作成したら最初にやっておきたいことをまとめてみた。 あわせて読みたい 本記事の内容を含めた最新の手順は、下記の書籍にまとまっている。 クラウド破産を回避するAWS実践ガイド AWSアカウント(ルートアカウント)の保護 AWSアカウントが乗っ取られると詰むので、真っ先にセキュリティを強化する。 AWSアカウントへ二段階認証を導入 AWSアカウントでのログインは、AWSアカウント作成時のメールアドレス・パスワードだけでできてしまう。心許ないにもほどがあるので、まずは二段階認証を設定しよう。 IAMのページを開く https://console.aws.amazon.com/iam/home 「ルートアカウントのMFAを有効化」を選択して、「MFAの管理」ボタンをクリック 「仮想MFAデバイス」にチェックが入っていることを確認し、「次のステップ」ボタンをクリック 注意書きを読ん
最近のサービスはアカウントだけならメール見なくても作れるよ、という話。 - not major is not minor
ども。nminmです。 盗用デザイナー佐野研二郎「Pinterestを見て盗用してません」→嘘でした…アカウントがバレて慌てて削除開始wwwwwwwwwwwww:ハムスター速報 ↑の話題について、 はてなブックマークにこんなことを書きました。↓ これって、Pinterestが、メアド知ってれば第三者でもアカウントが作れちゃう仕様だよ、ってだけのような。 - nminm のコメント / はてなブックマーク そしてidコールされまして。 id:nminm 確認のメールが来るだろうから他者は登録できないよ。 意外とご存じない方が多いのかもしれませんが、アカウントを作るだけなら確認メールなど気にしなくてもできるのです。 Pinterestは使ったことがなかったのですが、「多分できんじゃね?」と思ったので試しにやってみました。 Pinterest。かっこいいな。 アカウントは持ってませんが、ログイン
任意のTwitterアカウントの登録メールアドレス(伏せ字含)を表示させる攻撃が急増中(対策設定有り)
現在、突然「Twitterログインリンク」というメールが届くケースが急増しています。この原因について調査したところ、何者かがTwitterアカウントへログインを試み、とあるTwitterの機能を悪用して、登録メールアドレスの情報を取得している可能性が高いと考えられることがわかりました。この手法を使用して収集したメールアドレスリストに対し、今後集中的にTwitterアカウントの乗っ取りを目的としたフィッシングメールが送信される可能性などが考えられます。この件について仕組みを紹介するので、注意し、必要であれば対策を行ってください。 目次 1. 届くメール2. メールが届く原因2.1. ログインに失敗する2.2. 1クリックログイン用のリンクを送信する2.3. メールアドレスの一部を取得3. そもそも@以降がバレるとやばい人も!4. 注意したい悪用のシナリオ4.1. メールアドレスの一部を取得4
Twitterアカウント「@japan」、政府が運用開始 スペインの男性から譲り受け
政府はこのほど、Twitterアカウント「@japan」の運用を始めた。スペイン在住の保有者から譲り受けたもので、海外向け情報発信に活用する。 政府としての@japanアカウントは3月11日に運用をスタート。北陸新幹線の開通などを英語で伝えている。 同アカウントはスペイン在住のハビエル・カスターニョさん(@xabel)から譲り受けた。今年2月に米Washington Postが掲載したインタビューによると、カスターニョさんは、アカウントを取得して当事者に高く売りつける「スクワッティング」行為から守るためとして著名な国名・都市名のアカウントを多く登録し、現地機関などに譲渡してきた。 カスターニョさんは「@Canadaはカナダ、@RiodeJaneiroはブラジル、@Romeはローマの人々のものにできたが、@japanだけが残っている」と、同アカウントを日本政府へ譲渡したいとの希望を明らかにし
【LINE】公開型アカウント「LINE@」をグローバルでオープン化 法人・個人問わず、月額無料でLINEを対外的なコミュニケーションやビジネスに利用可能 | ニュース | LINE株式会社
【LINE】公開型アカウント「LINE@」をグローバルでオープン化 法人・個人問わず、月額無料でLINEを対外的なコミュニケーションやビジネスに利用可能 LIFEプラットフォーム構想の中核として新たな市場の創出を目指す LINE株式会社(本社:東京都渋谷区、代表取締役社長:森川亮)は、同社が運営する無料通話・無料メールスマートフォンアプリ「LINE(ライン)」において、法人・個人問わず、あらゆるユーザーがコミュニケーションやビジネス用途において、月額無料で利用できる公開型アカウント「LINE@」をグローバルで提供開始いたしましたので、お知らせいたします。 また、これに伴い、2月12日より「LINE@」のアカウント取得および情報発信・管理を行うことができる専用アプリ「LINE@」(iPhone・Android対応/無料)を公開いたしましたので、併せてお知らせします。 ■「LINE@」公式サイ
もっとややこしくしよう。 あなたはこのメールアドレスが自分の物で、当然X..
もっとややこしくしよう。 あなたはこのメールアドレスが自分の物で、当然X氏はメアドを詐称したと思っている。 しかし、そうではないケースが存在する。 1つ目が、X氏がメアドのタイプミスをした結果偶然あなたのアドレスに一致してしまった場合。これはシンプルだ。 2つ目は、実際にそのメアドはX氏のものだった場合。例えばこうだ。 かつてそのアドレスはX氏のものであり、その頃にクラウドサービスを利用開始し、その後メールアカウントを解約した。 メールサービスによっては、解約されたアドレスが再利用可能なものもある。あるいは、長期間使用されていないアカウントをリセットし開放することもある。 そうして同じIDを取得したのがあなただったというケース。
カフェで写真撮ってツイートしてる人のアカウントを特定する方法
よくカフェとかレストランで「カシャ♪」ってケータイで写真撮った後に なにやらメッセージを添えてどこかに送信してるような人っているじゃない? そういう人のアカウントを特定できたら面白いよねー ・・・今回はそんな方法を紹介するというライフハック。 ただ先に言っておくと、そもそも相手が実はTwitterを使ってない!っていうとアウト 送信先が友達へのメールでもアウト LINEだったりしてもアウト なので、必ず出来る!・・・とは言い切れない。 まー、せいぜい10回やって1度できるかどうかくらいの割合なので、レストランで料理が出てくるまでの時間つぶし程度のネタと思って大目に見てほしい。 肝心の方法の説明・・・の前にお店の名前とか、料理の名前・名物メニューとか話題の定番メニューが分かるなら、それで検索してみて素直にヒットするならそこで完了! 検索ワードのチョイスは推理力というか、もしも自分がそのお店を
Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語、スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
