50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
Twitterのパスワードリセットメールを使う嫌がらせ攻撃を止める方法 - 聴く耳を持たない(片方しか)
Webサービスではパスワードを使って個人の認証を行うわけですが、そのパスワードを もしもうっかり忘れてしまった時のために、多くのWebサービスにはパスワードリセットのメールを送信する機能があります。 ユーザー登録に使ったメールアドレスに任意のURLを送り、そのURLでパスワードが無くても本人確認するという仕組みです。 もちろんTwitterにもこうした仕組みがあります。 トップページから 「パスワードを忘れた場合はこちら」をクリックして メールアドレスか、ユーザー名(screen_name)を入力して「送信」をクリック とするとパスワードリセットのメールが送信されます。 あとは届いたメールの指示に従って操作することで、パスワードを忘れてしまっても本人確認がされるというわけです。 そしてここまでの手順の説明から分かる通り、通常はTwitterではパスワードリセットのメールはユーザー名(scr
Twitterが手違いでパスワードを大量リセット、ユーザーに告知メールを送信
Twitterからの公式メールにはパスワードリセットのためのリンクも記載されており、スパムと混同されかねないとして批判の声も出ている。 米Twitterは11月8日、手違いでユーザーのパスワードを大量にリセットしてしまうトラブルが発生し、新しいパスワードの設定を促す電子メールをユーザーに送信していることを明らかにした。 同社のStatusメッセージによれば、同社は通常の手続きとして、特定のアカウントが不正侵入されたと判断した場合、そのアカウントのパスワードをリセットして、持ち主に新しいパスワードの設定を促す電子メールを送信しているという。 しかし、今回は手違いで不正侵入を受けていないアカウントのパスワードまで大量にリセットしてしまったといい、「ご不便をおかけしたり混乱を生じさせたことをお詫びします」と謝罪している。 この問題はネットメディア各社が同日、一斉に報じた。報道によれば、実際にTw
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
