特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説
あの、ちょっと厄介なことがありまして。 いつもどおりのフィッシングサイトだと思ってたんですよ。 ...と思ってたら違ったのでまとめました。 スクリーンショットなどありますが、その中のURLには絶対にアクセスしないでください。 まず被害に遭わないために必要なことと被害に遭ったら必要なこと。 いろいろなページを見てみたところ、すこし違う点があったのでまとめさせていただきました。 k5342 @k5342 スパムDMの対策 ・興味本位にURLを開かないこと ・パスワード変えるとか結果無意味、アプリ連携を解除すること ・それスパムじゃない?って聞いてあげるのも効果アリ(そのときに解説サイトのURLを貼らないように) 2013-03-01 18:56:04
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.twitter-rss.com/
TwitterのOAuthの問題まとめ
LiveTter.com is for sale | HugeDomains
XAuth等を使ってクライアントアプリを作った場合のキーの管理方法 - Java Solution会議室