Twitterから流出したとみられる約2億件のデータについてまとめてみた - piyolog
2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。 自分が影響を受けたのかを確認するには 約2億件のデータに自分のメールアドレスが含まれているか(影響対象か)はHave I been pwnedを使って確認することが可能。 メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。(それ以外のリークに含まれていた場合は別のリーク情報も表示される。) メールアドレスがリークデータに含まれていた場合にTwitter (200M)が表示。 Twitter APIの脆弱性より流出したデータと主張 Twitter APIに第三者が他人のアカウント情報を取得できる脆弱性が2021年
noteの独自ドメインセッションの脆弱性について報告した件
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
婚活アプリ「Omiai」情報流出の詳細判明、API経由でクラウドに不正アクセス
ネットマーケティングは2021年8月11日、同社が運営する婚活マッチングアプリ「Omiai」で起こった不正アクセスによる会員情報流出の調査結果と今後の対応策を発表した。調査の結果、同社が契約するクラウドサーバーが不正アクセスを受け、年齢確認書類の画像データが複数回にわたって外部に流出したことが分かった。 Omiaiへの不正アクセスを巡っては、運転免許証や健康保険証、パスポートといった年齢確認書類の画像データ171万1756件(アカウント数)が外部に流出したことが判明している。現時点で流出した画像データに関連した二次被害などは確認できていない。 関連記事: 婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯 不正アクセスは2021年4月20日から26日にかけて、同社API(アプリケーション・プログラミング・インターフェース)サーバーを介して、同社が契約するクラウ
Firefoxは危険なJavaScriptに対応しない - Qiita
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)
2021_browser_mitm_vuln.md LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。 概要 2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。 入力途中も含む検索キーワードが、平文で開発元または検索サービスのサーバーに送られる。 利用者が閲覧しようとしたURLが、平文で開発元または検索サービスのサーバーに送られる経路がある。(閲覧URL全部送られたりするわけではない) 2021年の1月に修正されて、修正内容
ITPのCNAMEクッキー規制について|AD EBiS マーテック研究会
ご無沙汰しております。11月6日に、CNAMEレコードを使って付与された1st-party cookieの規制機能を搭載したiOS14.2がリリースされましたので、その内容をまとめます。いつものことですがマーケティングよりブラウザの細かい話です。正式発表前なので誤りの可能性がありますがご了承またはご指摘ください。 規制の仕組みまず規制されるのは、AppleのWebKitエンジニアJohn Wilanderさん(ITPの発明家)が「Third-party CNAME cloaking」として定義するものです。 Third-party CNAME cloaking means a first-party subdomain resolves to a third-party domain which does not match the resolution for the top frame
新型コロナの接触確認アプリCOCOAは、どうあるべきだったのか?
COVID-19対策接触確認アプリ「COCOA」は残念ながら不具合が報道されて話題になりました。そのOSS開発については、誤解が蔓延しているようです。今回はOSSと社会との関係について考察します。(まつもと ゆきひろ) 昨今の新型コロナウイルス感染症の広がりを防ぐ手段の一つとして導入されたのが、接触確認アプリ「COCOA」(COVID-19 Contact Confirming Application)です。 このアプリケーションは、プライバシーを維持したまま、ユーザー同士の接触を記録します。もし過去14日の間で、距離1m以内に15分以上とどまっていた人が、後に感染が分かれば通知してくれます。 もし社会全体で6割以上の人がこのアプリを使えば、大幅な感染拡大の抑制が期待されるとのことでした。 COCOAはAndroid版とiOS版が提供されていますが、日本では2020年現在、スマートフォンユ
「Google+」の一般向け終了へ 個人情報関連バグ発見と「使われていない」で - ITmedia NEWS
Googleが2011年に立ち上げたFacebook対抗ソーシャルサービス「Google+」の一般ユーザー向けサービスを2019年8月に終了する。主な理由は「使われていないから」としているが、「多くて50万人に影響する可能性のある、ユーザーが意図せずサードパーティーに個人情報を提供してしまう可能性のあるバグが見つかった」ことも明らかにした。 米Googleは10月8日(現地時間)、ソーシャルサービス「Google+」の一般ユーザー向けサービスを2019年8月に終了すると発表した。主な理由は「あまり使われていないから」としているが、その理由の説明の中で「Google+ People API」のバグで、最高50万人のGoogle+アカウントを非公開設定にしている個人データ(氏名、メールアドレス、生年月日、性別などだが電話番号や住所は含まず)が影響を受けた可能性があることが分かったとも書いている
女性エンジニアを集めてた GitHub の ggc リポジトリ で炎上してアカウント削除された話 - shouhの日記
炎上して GitHub アカウントが問答無用で停止されましたって話です。当事者としての経験や雑感など雑多にまとめましたので、参考になれば(なるのか?)幸いです。 経緯 ggc というリポジトリを作って遊んでいました。 ggc とは Github Girls Collection の略で、女性 GitHub アカウントを Markdown でまとめたリポジトリでした。実装としては、Followings(自分がフォローしたユーザ)の中から、あらかじめリストに書いておいた女性アカウント名のみを抽出して、アバター情報などを取得し、リスト化するというものでした。GitHub API を Python で叩いていました。 これが本日、おそらく このツイート を契機に炎上したようです。通報も行われたらしく、GitHub 側も通報を受け入れたようで、まず ggc リポジトリが disabled となり、ご
Macの内蔵カメラで盗撮可能な問題、セキュリティ研究者が報告
FaceTimeやSkypeなどを使ったビデオ通話の内容などがマルウェアに盗撮されてしまう恐れがあるという。 AppleのMacBookなどに内蔵されたWebカメラやマイクを使って、マルウェアが映像や音声が盗撮・盗聴できてしまう問題が報告された。セキュリティ企業Synackの研究者パトリック・ウォードル氏が10月6日、Virus Bulletinのカンファレンスで発表した。 ウォードル氏によると、この問題ではリモートの攻撃者がmacOSに感染するマルウェアを使って、ユーザーに気付かれることなく映像や会話を記録できるという。Macは企業のエグゼクティブから個人まで幅広く利用され、ユーザーは機密情報やプライベートな情報をSkypeやFacebookなどで日常的にやり取りしている。この問題が悪用されれば、ユーザーのあらゆる情報が攻撃者に筒抜けになると指摘した。
Geolocation API removed from unsecured origins in Chrome 50 | Web Updates - Google Developers
Chrome has public intent to deprecate powerful features like geolocation on non-secure origins, and we hope that others will follow. Starting with Chrome 50, Chrome no longer supports obtaining the user's location using the HTML5 Geolocation API from pages delivered by non-secure connections. This means that the page that's making the Geolocation API call must be served from a secure context such
AndroidアプリでFacebookのパーミッションを取得した話 - Androidはワンツーパンチ 三歩進んで二歩下がる
このポストではFacebook API ver2.0 / Graph API v2.4の時点の情報を書いています。 FacebookのGraph APIを利用したAndroidアプリを作りました。 そのアプリはデモアプリみたいなもので、画面のデザインや素材作成も含めて製作期間は一週間ぐらいの小さなものです。 その時にFacebookに権限を申請したので経緯をまとめておきます。 まずは参考にさせていただいたサイト様にお礼を。 snowadays.jp こちらのサイト様はこのページ以外もFacebook関係の記事が豊富でとても助かりました。 本当にありがとうございます。おかげでなんとか審査に通過いたしました。 Facebookは2014年4月にAPI2.0にバージョンアップする際に大幅に仕様変更しています。 中でも大きな違いは、public_profile、email、user_friends
Android 6.0のRuntime Permissionに対応する
Android 6.0ではRuntime Permissionという概念が取り入れられました。 それまでのアプリでは動作に問題が出ることが有ります。 Runtime PermissionとはAndroidではカメラやネットワークなど一部の機能を使用するには、ManifestにPermissionを記載して、使用することを明示的に宣言しないと使えない機能があります。 これにより、ユーザーはそのアプリがどのような機能を使用しているかを把握することが出来ます。 PermissionはAndroid6.0未満では全てインストール前に確認するという方式が取られていました。 ユーザーがPermissionを許可しなかった場合アプリをインストール出来ません。 しかし、この方式はいくつかの問題を含んでいます。 多くのユーザーはインストール前にそのアプリがどのPermissionをどうやって使うのか把握しづ
ep17 Service Worker | mozaic.fm
Theme 第 17 回のテーマは Service Worker です。 今回は @kinu さんと @nhiroki_ さんをお迎えして、 今実装や仕様策定が進んでいる Service Worker について、なぜこうした仕様が出てきたのか、これを用いて何ができるのか、これがどう Web を変えるのか。 実装や仕様の裏話や、これが普及してからの懸念点なども含めて、じっくり議論しました。 また、 Service Worker へのフィードバックは bug tracker (基本は英語ですが、日本語でも良いそうです)、もしくは #serviceworker です。 Show Note 関連仕様 ServiceWorker AppCache Push API Notifications API Fetch Permissions API Service Worker の始まり(0:00) Se
iOS 8 の位置情報のプライバシー設定に対応する – I'm Sei.
iOS 7 では設定アプリの Privacy > Location Services から各アプリの位置情報のプライバシー設定ができました。 iOS 7 ではアプリに対して位置情報の使用を許可するか、許可しないかの 2 択しかありませんでしたが、iOS 8 では以下の 3 択に変わるようです。 - 許可しない (Never) - 使用中のみ許可 (WhenInUse) - 常に許可 (Always) WhenInUse は、「アプリまたはその機能が画面上に表示されている場合のみ位置情報を利用することを許可」する設定です。 Always は、「バックグラウンドで実行中の場合にもアプリが位置情報を利用することを許可する」する設定です。 WhenInUse か Always かによって、Core Location で使える機能が変わります。 また、同じ Core Location の機能を使って
iOS 6時代のUUID事情
今日リリースされたiOS 6, マップやPassbookが目立った新機能だが、UDID/UUID周りについても重要な変更が行われている。 これらについてまとめておく。 UDIDへのアクセスは基本的にNG. UDIDへのアクセスはiOS 5から非推奨とされている。 公式リファレンスでは、CFUUIDRefを生成し、アプリ内で保存するなどの方法をこれまでには紹介されていたが、iOS 6ではフレームワーク側でUDIDにかわるID(どれもUUID)を用意している。 + [NSUUID UUID] 従来のCFUUIDRefのObjective-C版と考えていいだろう。クラス・メソッドの+UUID を呼び出せば、UUIDが新規に生成される。 NSString、バイト列に変換するインスタンス・メソッドも用意されている。 ただし、CFUUIDRefとToll-Free bridgeではない。 UIDevi
twitterのサードパーティアプリに対するDMパーミッション仕様変更のまとめ | Token Spoken
本日twitter社が、twitterのサードパーティーアプリにおけるDMに関するパーミッションの仕様を変更しました。 しかし、メディアによる記事や、日本のtwitter社のブログの内容だけではわかりにくいのがtwitter仕様変更における毎度共通の問題です。 いつものごとく、各メディア、公式ブログ共に米国側の告知について表面をなぞっているだけで、DMのアクセスをひとまとめにして書いてしまっており、日本のデベロッパーには更なる混乱を招きそうな勢いです。 ですので、ここで今回の仕様変更について簡単にまとめてみました。 今回の変更は「DMへのアクセスと削除」についてであり、「DMの送信」には関係ない。 今までは登録アプリの設定に「Read-Only」と「Read & Write」だけで、後者にDMに関するパーミッションが含まれていたが、今回「Read, Write & Private Mess
TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された - F.Ko-Jiの「一秒後は未来」
これまでTwitterのOAuth認証にはアクセスレベルが「Readのみ」「ReadとWrite」という2段階しかなく、認証を許可してしまうとダイレクトメッセージの内容までアプリケーション側から読めてしまうという問題がありましたが、ようやくこの問題が解決するようです。 Beginning today, we’re giving you more control over what information you share with third-party applications. Apps that you use to access your direct messages will ask for your permission again. » Twitter Blog: Mission: Permission 公式にアナウンスされているように、Twitterアプリケーションのア
住所や本名知らなくても年賀状が送れる「ウェブポ」 Twitter IDやメアド分かればOK
ソフトウェア開発のリプレックス(東京都渋谷区)は10月29日、相手のメールアドレスやTwitterアカウントを知っていれば、住所や本名を知らなくても年賀状を送れるサービス「ウェブポ」をスタートした。 日本郵政グループの郵便事業会社と連携し、Webブラウザ上の操作だけでお年玉付き年賀はがきを届けるサービス。「ミクシィ年賀状」と似たサービスだが、外部サービスと連携し、同社が個人情報に直接アクセスできない仕様にした。 メアド分かればOK TwitterやGmailとAPI連携 相手の住所が分かっていれば、直接入力して年賀状を届けることができ、分からなければ、メールやTwitterのダイレクトメッセージを通じ、相手に送り先住所を入力してもらうことになる。 送信相手は、メールアドレスを直接入力したり、Outlookなど連携しているメーラーから取り込んで選ぶことが可能だ。GmailとはAPIで連携。I
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
