phaのtwitterアカウントが乗っ取られた件顛末まとめブロガー、作家、ニート、「圧縮新聞」の作者として有名な@pha さんのtwitterアカウントが乗っ取られました。 どういうふうにやられたのか、みんな知っておいたほうがいいと思ったのでまとめます。
Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で
米Twitterは5月2日(現地時間)、全ユーザーに対し、Twitterへのログインに使っているパスワードを変更するよう求める告知を送ったと発表した。社内システムのバグで、パスワードをプレーンテキストで保存していたことが判明したためとしている。 社内調査の結果、パスワードが外部に流出したり悪用された可能性はないが、念のため全ユーザーに通知したとしている。ジャック・ドーシーCEOは「対策済み」だとツイートした。 パラグ・アグラワルCTO(最高技術責任者)は公式ブログで、同社ではユーザーがパスワードを入力する際、「bcrypt」という強力なアルゴリズムを使ってハッシュ化しているが、今回見つかったバグで、ハッシュ化処理の前にログにプレーンテキストで保存されていたという。 何人分のパスワードがテキストとして保存されていたのか、それがいつ頃からのことなのかについては明らかにしていない。 米Reute
ツイッター、不具合でPW「露出」 変更呼び掛け
ツイッターのロゴ(2016年12月28日撮影)。(c)AFP PHOTO / LOIC VENANCE 【5月4日 AFP】(更新)米ツイッター(Twitter)は3日、ソフトウエアの不具合により利用者のパスワードが誤って内部ログに「露出」したと発表し、利用者にパスワードの変更を呼び掛けた。 同社は、データが流出したことを示す情報はないとした上で、念のためパスワードを変更するよう勧告している。 同社のパラグ・アグラワル(Parag Agrawal)最高技術責任者(CTO)はブログ投稿で、利用者のパスワードは「ハッシュ化」という方法で保護されており、社内からも閲覧できない仕組みになっていると説明。 だが今回の不具合により「ハッシュ化処理の完了前にパスワードが内部ログに書き込まれていた」ことが分かったという。アグラワル氏は「私たちはこのエラーを自ら発見し、パスワードを削除した。現在、このバグの
米ツイッター システム欠陥で3億人超にパスワード変更呼びかけ | NHKニュース
アメリカのツイッター社は、パスワードを保管するシステムに欠陥が見つかったとして、3億3600万人に上るすべての利用者にパスワードを変更するよう呼びかけました。 具体的には、ツイッターにログインする際のパスワードをほかのサービスでも使用している場合はそちらのサービスでもパスワードを変更することや、通常のパスワードと合わせて、携帯電話で6桁の数字を受け取って本人であることを認証する方法によるログインを呼びかけています。 ツイッター社は、これまでの調査の結果、情報の流出や不正な利用は確認されていないと説明していて、「こうした事態が起き、申し訳ありません。利用者の信頼にこたえるため、日々努力します」とコメントしています。
「ln.is」で始まるリンクにご用心 2013年のスパムが「語彙力テスト」きっかけで再び拡散中
8月18日から「日本語ボキャブラリーテスト」という語彙力テストがTwitterで流行中。50の四択問題に答えると診断結果が表示されるもので、大勢が結果をシェアしていました。しかしそのなかには、「ln.is」なるスパムに感染している人がたくさんいると、指摘する声があがっています。 単純にユーザーの語彙力を診断するもので、語彙力テスト自体に危険性はない 誤解のないよう先に述べますが、このスパムは語彙力テストが原因で感染するものではありません。「ln.is」が確認されたのは2013年ごろ。「ln.is」が含まれるURLを開くと、「Linkis.com」なるスパムアプリとの連携を促され、承認すると感染してしまいます。キャンセル用の「×」ボタンが小さくて気づきにくく、なにげなく承認してしまうケースも多いようです。 発見当時の言説はtogetterにまとめられています 感染者がURLをツイートすると、
Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導?
最近目立っているのは、「レイバン」のサングラスや「プラダ」の財布、「UGG」のムートンブーツなどのブランド品を激安で販売すると宣伝するサイトに誘導するツイート。「レイバンのサングラス!2499円!優遇放送日だけ!」「R0AEC プラダ 海外 安い, プラダ 財布 カタログ【海外激安】」「私は8190円のUGGブーツを購入した」などの文言と商品画像、通販サイトのURLを、ほかのアカウントにあてた「@」付きで投稿する。誘導先で販売されている商品は極端に低価格で、偽ブランド品や詐欺サイトの可能性もある。 これらのツイートはアカウントの持ち主が意図したものではなく、スパム業者がアカウントを乗っ取って投稿しているようだ。Twitterでは不正な連携アプリによるスパムツイートが流行することが多いが、今回のケースは異なり、他社などから流出したパスワードリストを悪用し、多数のアカウントに不正ログインするリ
50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitterでリンク先に「ln.is」が付け加えられるスパムアプリについて