パスワードを忘れた? アカウント作成
11111320 story
Twitter

Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える 26

ストーリー by hylom
Twitter怖い 部門より
あるAnonymous Coward 曰く、

Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出するという事件が発生したが、この犯人を自称する人物がTwitter上で犯行の理由について語っている(Togetterまとめ)。

犯人は窃取したアクセストークンを使い、「ツイート数カウントくん」との連携設定を行っていたユーザーのアカウントを操作し、特定のユーザーをブロックしたり、フォローさせるといった操作を行っていた模様。ブロックされたユーザーが「一晩で大量にブロックされた」ことをTwitterで報告したことから流出が明るみになったようだ。いっぽう犯人はTwitter上で『単純に「私はこんな人をブロックしているよ!」みたいな感じで画像をあげていたのが気に喰わない』としてブロック行為を行ったと発言している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年06月17日 16時09分 (#2622560)

    フォローやブロックも抱き合わせで許可しなければならないTwitterの権限システムはおかしい。

    • 読み、読み書き、読み書きDM の3種でしたっけ?
      大抵のアプリは つぶやくために 読み書き くらいまでは権限取るので、ザルですよね。

      『書き』でも、つぶやき と それ以外(フォロー/プロフィール更新 etc...) くらいは最低分ければ、ちょっとはマシな気がするんですが。

      親コメント
      • by Anonymous Coward

        えっ、そうだったんですか?
        連携の許可をしようとする時には『ツイートを見る』『プロフィールを更新する』『新しくフォローする』といった風に細かく分かれて書かれてるので、プロフィール更新やらフォローといった、アプリの性質上必要ないはずの権限まで要求するのは作者が怠惰か邪悪かのどっちかだとずっと思ってました……

        • by Anonymous Coward on 2014年06月17日 17時37分 (#2622610)

          読み
          ・ツイートを見る
          の単独

          読み書き
          ・ツイートを見る
          ・フォローしている人を見る、新しくフォローする
          ・プロフィールを更新する
          ・ツイートする
          の一括セット

          読み書きパスワードDM
          ・ツイートを見る
          ・フォローしている人をを見る、新しくフォローする
          ・プロフィールを更新する
          ・ツイートする
          ・ダイレクトメッセージを見る
          ・Twitterのパスワードを見る
          の一括セット

          この3択しかなく、「ツイートする」がないと何もできないに等しいからほとんどの連携アプリは読み書きで連携することになり、不要なfollow, unfollow, blockなどの許可もまとめてゲットすることになる。

          親コメント
          • 古い (スコア:2, 参考になる)

            by Anonymous Coward on 2014年06月18日 0時51分 (#2622829)

            現在の認可内容は以下のとおりで、少し違う。Twitterのパスワードはどの認可を与えてもアプリからは見れない。というか、見れたらOAuthの意味がないじゃないか。

            Read Only
              - タイムラインのツイートを見る
              - フォローしている人を見る

            Read and Write
              - タイムラインのツイートを見る
              - フォローしている人を見る、新しくフォローする
              - プロフィールを更新する
              - ツイートする

            Read, Write and Access direct messages
              - タイムラインのツイートを見る
              - フォローしている人を見る、新しくフォローする
              - プロフィールを更新する
              - ツイートする
              - ダイレクトメッセージを見る

            親コメント
            • by Anonymous Coward

              えー、昔は読み書きDM権限でパスワード見えてたってこと? 親コメが古いとかじゃなくて単に間違い(あるいはこの機に乗じてデマを広めようとしている)ならいいんだけど。

          • by Anonymous Coward
            うわー、今までに読み書きパスワードDMを要求するアプリを見かけたことは全くないけど、うっかり連携しちゃうようなことが一度もなくてよかった。

            しかしTwitterほどの有名で大規模なサイトがパスワードをハッシュ化せずに保存しているとは信じたくないな、いやはや。
            • 昔は認証の画面に「以下のことが許可されます」と「許可されません」の一覧表示があって、「許可されません」の方に「パスワードの閲覧」だけが
              書いてありました。親コメはそれを元に書いてるのかと思いますが、DMもその他タイムラインも同じAPIでアクセスするものですし、パスワード原文を要求
              できるというのは聞いたこともないです。アプリに必要なのはアプリ共通のConsumer Key, Consumer Key Secret("CK/CS")と、認証して発行される
              Access Token, Access Token Secret だけです。

              # 全面OAuth化される前にxAuthという選択肢があって、IDとパスワードをアプリに打ち込むとブラウザ不要でトークンを取ってきますよというものでした
              # xAuthではアプリが抜く可能性があるので、それとは違うということを示すためにしばらく「パスワードは渡されませんよ」ということを書いてあったのかもしれないです

              親コメント
            • by Anonymous Coward
              Tweenを始めとしたクライアント系なら必然的にそれがついてますよ。
    • by Anonymous Coward on 2014年06月17日 17時52分 (#2622617)

      気持ちはわかるが、ゴミのようなアプリに権限委譲する方も悪い。
      アクセス権を与えるリスクを考えてない人が多過ぎる。

      親コメント
      • by Anonymous Coward

        乗っ取られるまではちゃんとしたアプリだったんだよ。

        • by Anonymous Coward

          アプリの機能そのものがゴミって話では

          • by Anonymous Coward

            そればっかりは使う人の価値観だからなんともいえないのでは・・・

          • by Anonymous Coward

            こんな権限設定しかできないAPI自体がゴミなので
            それを利用するWRITE以上の権限のある全アプリがゴミですな。

    • by Anonymous Coward

      おかしい、というか、素朴すぎる、というか。
      「ツイートするだけ」という権限セットもあってしかるべき。

      しかるべき、なんだけど、メッセージングインフラであることを捨てて
      「お前ら全員純正アプリケーション使えよ」という態度に舵を切った Twitter 社に期待できることはほぼなにもない。

  • by Anonymous Coward on 2014年06月17日 15時30分 (#2622536)

    どんな属性の人間なのかが気になる

    • by Anonymous Coward

      サンドバッグ依存症ですな

    • by Anonymous Coward

      不愉快犯っぽいね。

  • by Anonymous Coward on 2014年06月17日 15時59分 (#2622549)

    の管理者は、放置プレイなんですかね?
    「どの様にしてトークンキーが取り出されたかは、ntddk氏の推理を聞いてからにしようかと思います」
    って、ntddkさんよりも管理者とやりとりすべき話だと思うんですが。

    • by Anonymous Coward

      同一人物なんでは。

    • by Anonymous Coward

      管理者は「サーバ自体が乗っ取られ、ログも全て削除され」たため分からないと言っているそうな

      • by Anonymous Coward

        「ここがザルだったのだよ。チミィ」といった展開って、その管理者にやるべきだと思うけど。
        攻撃順序的にも、なんでそのアプリ狙ったのかとか気になること沢山あるよね。

        • by Anonymous Coward

          気に食わないから嫌がらせのために犯罪行為するような異常者の行為に関して文句言われてもなあ。

      • by Anonymous Coward

        サーバ自体が乗っ取られたことにして、
        証拠も全部消したんだろうな、
        仕事に支障が出るレベルならデータ復旧ぐらいやるだろ

  • by Anonymous Coward on 2014年06月18日 1時00分 (#2622836)

    なる4の騒ぎを思い出した
    こんなの [togetter.com]とかこんなの [togetter.com]とか

    今回はトークンが盗まれたから原因は全然違うけど、oAuthがどういうもので、危険性がどこにあるのか理解しないままTwitter使ってる人が多い、って意味では何も変わっちゃいない

    • by Anonymous Coward

      oAuthがどういうもので、危険性がどこにあるのか理解しないままTwitter使ってる人が多い

      ストーリーの主題とは関係ないですが、
      「ドラえもん打ち切り!詳細は(URL)」→OAuth とか
      「この写真何が怖いかわかりますか?」→OAuth とか
      あからさまに怪しい OAuth 要求すらバンバン認証されてますからね。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...