Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
Twitterブログ: アカウントが「のっとられない」ように
とても残念なことに「Twitterのアカウントののっとりが流行っている」というような記事が目につきます。もっと残念なことに、本当にアカウントがのっとられてしまった方々がいらっしゃいます。このようなことにならないようにどうしたらよいかを、再度ご案内させてください。 「のっとり」のほとんどはパスワードの問題ですアカウントが誰かにのっとられてしまったという場合、ほとんどのケースはそのアカウントのパスワードの問題です。 1: 誰がそのパスワードを知っていますか? 特に会社やブランドのアカウントの場合、ひとりではなく、数人がパスワードを知っていることが多いと思います。 a) 現在、誰がパスワードを知っているかを確認しましょう。部署異動でもうそのアカウントに関係していない方がまだパスワードをもっている可能性はありませんか?すでに退職された方にアカウントへのアクセス権があったりされませんか? b) ポス
ツイッターにサイバー攻撃 NHKニュース
インターネット上に短い文章を投稿する「ツイッター」の運営会社は、アメリカにあるサーバーがサイバー攻撃を受け、25万人分の個人情報が不正に読み取られた可能性があることを明らかにしました。 会社側では利用者にパスワードの変更を呼びかけています。
Twitterブログ: より安全にご利用いただくために
すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもともと設定されているJava(プログラムのひとつ)をオフにされました。 今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザ
Twitterの発言のみで住所特定が可能どうか、自分の発言を餌に試してみた - 偏読日記@はてな
「オフ会から帰る際には駅から自宅までの距離を悟られないようにするため、帰宅報告ツイートは実時間とずらす」基本をTL諸氏に周知徹底した上で、敢えて帰宅ジャストの帰宅報告ツイートをかますのがバーストリンク攻防戦の醍醐味なんじゃないんですか 2012-07-02 23:21:29 via Seesmic 例えばオフィスが35階にあるとして、そんなビルは日本にほとんど無いというか、その気になれば誰でも数えられる数ですよね。「線が止まってる」「今日からノーネクタイ」「新人が配属されて10日」あたりを組み合わせれば、職場はほぼ特定終了、場合によっては部署すら確定できますよね。 2012-06-29 00:14:34 via Seesmic そんな極端な例を出さなくても、「警戒線上のホライゾン」みたいな誤字をやらかせば、「あ、法曹関係か不動産関係の人ですね」と察しがつくし、全く本人が意図せず気付きもしな
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - ockeghemのtumblr
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
【Twitter実験】つぶやきだけで個人を特定できるのか? | オモコロ
こんにちは、セブ山です。 みなさんはTwitterでどんなつぶやきをしていますか? おそらく、今日の予定をつぶやいたり、ランチの写真をアップしたり、あなたの「今」を仲の良い友達に向けてつぶやいていることでしょう。 しかし、本当にそのツイートはあなたの友達だけが見ているのでしょうか? もし、知らない誰かにあなたのつぶやきを覗かれていたとしたら…? つぶやいた内容を手掛かりに個人を特定されてしまうかもしれませんよ!? 今回は、そんな個人情報垂れ流し社会に警鐘を鳴らす実験をおこないます!! ■ルール説明 1.Twitterの検索機能を使って「渋谷なう」とつぶやいているアカウントを探します。 2.「渋谷なう」の検索結果をもとに、さらに詳細な個人情報を垂れ流しているアカウントを割り出します。 3.そのアカウントのつぶやきをこっそり監視して、個人を特定し、実際に捕まえるためにハンター(セブ山)が渋谷の
Twitterの脆弱性3連発 - ma<s>atokinugawa's blog
最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
Twitterを名乗る新たな詐欺メールが出現
「Twitter Support」から届いたように見せかけて、詐欺サイトに誘導する迷惑メールが出回っているという。 セキュリティ企業の米McAfeeは、Twitterユーザーをだますことを狙った新手のフィッシング詐欺メールが出回っているとして、ブログで注意を呼び掛けた。 それによると、問題のメールは「Twit 73-923」などの件名が付き、「Twitter Support」から届いたように見せかけてある。本文は「You have delayed message from Twitter」といった文面でTwitterに未読メッセージがあることを知らせる内容を装い、リンクをクリックするよう仕向ける。 リンクのURLは一見すると、「http://twitter.com」で始まる正規サイトのように見える。しかしリンクは偽装されたものだという。同社は、リンクを安易にクリックすると、マルウェアに感染
Twitterクラック事件の原因?:Geekなぺーじ
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
IDとパスワードが同じアカウントは自動的に海外から乗っ取られる
全て 1.このサイトについて 2.作品DB開発/運用 3.ホームページ制作技術 4.Perl 5.C言語 / C++ 6.検索エンジン&SEO 7.サッカー 8.自分のこと 9.Linux 10.旅行 11.思ったこと 12.パソコン 13.Berkeley DB 14.その他技術系 15.企画 16.スマートフォン 17.鑑賞 18.皆声.jpニュース 19.インターネット業界 20.運用マニュアル(自分用) 21.技術系以外実用書 22.料理 23.ALEXA 24.アニメ 25.会計 26.漫画 27.設計書 28.色々サイト作成 29.サーバー 30.自分専用 31.生活 32.OP/ED/PV 33.ゲーム 34.DB整備 35.新規開始作品紹介 36.英語圏の話題 37.大道芸 38.映画 39.PHP 40.ダイエット 41.Mac 42.JavaScript 43.MySQ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
OAuthを悪用したTwitter DMスパムが登場
2009-08-01 はじめに 今回のDMスパムについての基本的な情報です。 「MobsterWorld」と書かれたDMが届いても無視しましょう 間違ってURLを踏んで、さらにTwitterの「ALLOW」ボタンを押してしまった人は、後述の「ALLOWをクリック 感染 してしまったら」の対処をしましょう(URLを踏んでも、ALLOWボタンを押していなければ大丈夫です) ここから本題 これは初めてOAuthが悪用された事例になるかも。 TwitterでスパムDMが広がっている。これを踏むと、意図せずにフォロワーへスパムDMを送信してしまうというもの。 スパムDMについては ITmedia に記事がでている。 TwitterでスパムDM出回る フォロワーに自動でDM送りつけ - ITmedia News Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに
bit.lyのプライバシー設定に注意
Twitter が投稿内の URL を短縮するのに使うサービスを tinyurl から切り替えたということもあって、 bit.ly がにわかに注目を集めている。 単に長い URL を短縮するだけじゃなくて、 ユーザー登録しておけば 自分が作った短縮 URL のクリックログを リアルタイムで見ることもできるとか URL を短縮してそのまま Twitter に投稿できるとか リッチな API が提供されていてサービスに組み込みやすいとか いいところがいろいろあるみたい。 その便利さの前では実に些細なことなんだけど、 bit.ly にユーザー登録をして使うときは プライバシー設定を見ておいた方がいい人がいるかもしれない。 自分が作ったリンクの履歴を公開する設定に デフォルトでチェックが入っているから。 要するに、ユーザー登録したままの状態だと アカウント名のあたりをつけてアクセスされたら htt
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RTで救われる命もある
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
はてなブログ | 無料ブログを作成しよう
Good night, Posterous