Disconnect - See the Hidden InternetMass data collection is nothing new. AI weaponizes it like never before.Criminals and state-sponsored attackers steal and buy personal data at scale. Now AI easily transforms this data into precise attacks on you, your employees, and your business.
Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導?
最近目立っているのは、「レイバン」のサングラスや「プラダ」の財布、「UGG」のムートンブーツなどのブランド品を激安で販売すると宣伝するサイトに誘導するツイート。「レイバンのサングラス!2499円!優遇放送日だけ!」「R0AEC プラダ 海外 安い, プラダ 財布 カタログ【海外激安】」「私は8190円のUGGブーツを購入した」などの文言と商品画像、通販サイトのURLを、ほかのアカウントにあてた「@」付きで投稿する。誘導先で販売されている商品は極端に低価格で、偽ブランド品や詐欺サイトの可能性もある。 これらのツイートはアカウントの持ち主が意図したものではなく、スパム業者がアカウントを乗っ取って投稿しているようだ。Twitterでは不正な連携アプリによるスパムツイートが流行することが多いが、今回のケースは異なり、他社などから流出したパスワードリストを悪用し、多数のアカウントに不正ログインするリ
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
Twitterのアカウント作成時に電話番号の登録が必須にー電話番号によるアカウント検索が可能に
0などを並べて無効な電話番号を入力してみても新規登録はできず、既に登録している電話番号を登録することもできませんでした。つまり、これからは1アカウント作るためには電話番号も1つ必要になるということです。 また、「パスワードを忘れてログインできなくなったから、新しいアカウントを作成したよ。フォローよろしくねー」っていうツイートを見かけることもありますが、既に登録している電話番号は利用できないため、アカウントの作成もできなくなってしまいます。さすがにココらへんは電話番号を解除できるようなるかと思いますが・・・ 電話番号を登録せずにアカウントを作成する方法はあるが・・・ アカウントが簡単に作れて、複数のアカウントも管理することが多いTwitterでこの仕様になるのはめんどくせー・・・ なんとか突破できんものかと今度はパソコンでアカウントの作成を試みるも、同様に電話番号の入力が促されました。 いつ
お名前.COM 「高機能のメール配信システムをぜひご利用ください!」→名前とIDを大量に誤送信 パスワード漏洩の心配も
お名前.com(公式アカウント) @onamaecom 新サービス「お名前.com メールマーケティング」を提供開始しました! メルマガ一斉配信はもちろん、様々なマーケティング機能を標準搭載しています。 高機能のメール配信システムをご希望の方はぜひご利用ください!bit.ly/1FysK4Q 2014-11-28 10:29:55
Boothの同人音楽ネットイベント「Apollo」で人のアカウントに意図せずログインできて人のクレカで買い物までできてしまっていたらしい件まとめ(1)
Pixiv/Booth/Apolloで発生したログインバグ・クレカ問題が起きた当時のBoothユーザーさんたちのつぶやきのみのまとめです。 まとめ目次 (1)http://togetter.com/li/751441 (ここです) (2)http://togetter.com/li/751845 続きを読む 問題の概要 Pixivの主催する同人誌委託・通販・DL販売サイト「Booth」 https://booth.pm/ で 2014年11月28~30日限定の同人音楽専門ネットイベント「Apollo」 https://booth.pm/apollo/ が 開催されているまさにその最中の29日18時頃、 「気付いたら自分のアカウントじゃないアカウントにログインできている」 「アカウント情報見たら他人のだった」 「カートに入れてたものが消えた」 「カートに入れた覚えのないCDが入ってる」 「買
最近Twitterで流行ってるスパム業者の手口 - 逸木裕のweblog
日常系のツイートばかりをしている複数の友人が、最近立て続けに怪しげなリツイートをしていた。こういうものだ。 これは業者によるスパムで、手法自体は古典的なのだが、最近また猛威を振るっている。以下、解説と注意喚起をする。 業者の手法 業者の手法を簡単に説明すると、下記の通り。 「Twitterアプリ」にユーザを登録させる ユーザのツイート権限を奪う*1 奪ったツイート権限で、スパムを拡散する 極めて簡単ですね。 この流れで一番難しいのは1の「Twitterアプリ」にユーザを登録させるという箇所だが、最近のバイラルメディア*2の勃興に伴い、この部分の心理的な障壁が下がっているのがスパム流行の原因になっていると思われる。 どういうことか。以下のツイートを見て欲しい(くれぐれも見るだけで、URLを踏んだり、アプリ登録してはいけません)。 【閲覧注意】動物園で檻に落ちた男性が虎に襲われて死亡した事件
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
もう「Twitterのアプリ認証」は使わないに限る
著者紹介:宮田健(みやた・たけし) 元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。 2014年3月8日に消息不明になったマレーシア航空370便(MH370)。各国の懸命な捜索が続いていますが、一足先に「MH370の動画」を偽装した不正プログラムが発見されました(参照リンク)。 人々が注目する事件や事故、ゴシップに便乗し、「真実を知りたければクリック」と誘導する詐欺サイトやウイルス感染をさせるサイトはこれまでも多数、登場しています。過去には、東日本大震災やボストンマラソン爆破事件なども利用されていました。この脅威を告知するトレンドマイクロは以下のように呼
それ、怪しくね?Twitterで流れてくる写真が「今撮られたものか」を調べる方法 : め〜んずスタジオ
2014年02月16日 それ、怪しくね?Twitterで流れてくる写真が「今撮られたものか」を調べる方法 カテゴリ:写真・動画解説 駅で混雑している様子や、自然災害の写真。TwitterやFacebookを眺めているといろいろな写真が投稿されていますよね。 でも、その写真って本当に今撮影されたばかりの写真でしょうか?本当にその人が撮った写真でしょうか? 実は、前回同じような事故や災害が起きたときに撮られた写真だったり、まったく違う人が撮った写真だったりすることがけっこうあるんです。要するに、他人の写真をまるで自分が撮ったかのように投稿している、と。 2014年2月14日〜15日にかけて関東地方など広い範囲で大雪になった際にも、古い写真があたかも今撮られた写真のようにツイートされまくっているのを見かけました。 例えば、こちら。 上の写真はある人(仮にA男としておきます)が 「とうとう高崎線、
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 OAuthの現状と1.0の問題点、2.0での特徴などを解説し、2.0の例としてFacebookのAPIの利用例を紹介します OAuthの現状 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してき
見た動画を“勝手に”ツイートする「Plays Now」に注意 アプリ連携のチェックを
ユーザーが視聴した動画のタイトルなどをツイートする「Plays Now」というアプリによるツイートが10月14日ごろから急増している。よく分からないままアプリ連携を許可してしまい、ユーザーが見た成年向け動画などを知らずにツイートしてしまうケースも起きているため、注意が必要だ。 「Plays Now」は、アプリ連携を許可したユーザーが視聴した動画のタイトルなどをツイートするアプリ。目的など詳細は不明だが、ツイートには先頭に「plays」と入っており、ツイートに入っているURLやタイムラインに表示される動画にアクセスするとアプリ連携画面に誘導されるようになっている。
Twitterがダウン 「シリア電子軍」が犯行声明をツイート
米Twitterのサービスが、日本時間の8月28日早朝から一時ダウンした。Twitterのステータスページによると、協定世界時の8月27日午後8時29分、DNSサーバで問題が発生した。Twitterの画像サーバ(twimg.com)を含む多数の企業のDNSレコードが書き換えられたことが原因という。午後10時29分にtwimg.comは復旧。この問題はユーザーデータには影響しないとしている。 これより前(日本時間の午前7時24分)、シリアのバッシャール・アサド大統領を支持する政府系ハッカー集団「Syrian Electronic Army」(SEA=シリア電子軍)がTwitter.comのドメインを乗っ取ったとツイートしており、ダウンの原因はSEAによる攻撃とみられる。
twitterで不用意な発言をして大炎上してどうしようもなくなって...
鍵かけてスクリーンネーム変えて逃げたつもりの子の新スクリーンネームを知るには。 まぁ、気づく人はすぐ気づくはずだけど。 消えたスクリーンネームでググる。よほど時間が経過してなければ大体そいつのtwitterはヒットするので、キャッシュを開く。アドレスバーにRSSアイコンが出ていれば大勝利。そのアイコンをクリックしてhoge's tweetを講読する。まぁprotectなのでnot authorizedとかなるけど気にしない。知りたいのはURLだけだから。RSSのURLは、「http://twitter.com/statuses/user_timeline/00000000.rss」みたいなものなのだが、その「00000000」がそいつのtwitterにおけるID。これはスクリーンネームを変えても不変。IDがわかったところで「http://twitter.com/users/show/000
家入一真氏の影響で高校生や大学生が電話番号&口座晒しをしている件について考えてみた。 - BAYAREAD ─読書記録と忘備録─
ネット界隈をにぎわす男、家入一真。 ロリポップやJUGEM等のサービスを展開する「株式会社paperboy&co」の立ち上げに始まり、studygift等世間を騒がせてサービスを立ち上げる等、連続起業家として有名な方です。 そんな色々な意味で有名な彼が、またひとつのムーブメントを起こしています。 先日、起業家スーパーカンファレンスというイベントが行われました。 この催しは、学生企業を考えているようなアツい学生の間でどんどんと拡散されていたので、僕のTLにも流れてきました。「俺は起業するぞ!!」って3年ぐらい前からいつもツイートしている同級生がリツイートしていたのでよく覚えています。茂木健一郎さんが好きなので、ちょっと行こうかと思いました。行ってませんが。 イベントには家入さんも出席したのですが、その際に彼が自ら行なっている、ネット上での電話番号&口座晒しについて触れられたようで、「リスクを
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
模倣サイト注意喚起に踊った輩は何が迂闊だったか
わずか3時間半で個人特定 「匿名性」の落とし穴 - 日本経済新聞
ggsoku.com
