Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える 26
ストーリー by hylom
Twitter怖い 部門より
Twitter怖い 部門より
あるAnonymous Coward 曰く、
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出するという事件が発生したが、この犯人を自称する人物がTwitter上で犯行の理由について語っている(Togetterまとめ)。
犯人は窃取したアクセストークンを使い、「ツイート数カウントくん」との連携設定を行っていたユーザーのアカウントを操作し、特定のユーザーをブロックしたり、フォローさせるといった操作を行っていた模様。ブロックされたユーザーが「一晩で大量にブロックされた」ことをTwitterで報告したことから流出が明るみになったようだ。いっぽう犯人はTwitter上で『単純に「私はこんな人をブロックしているよ!」みたいな感じで画像をあげていたのが気に喰わない』としてブロック行為を行ったと発言している。
ツイートさせようとするだけで (スコア:3, すばらしい洞察)
フォローやブロックも抱き合わせで許可しなければならないTwitterの権限システムはおかしい。
Re:ツイートさせようとするだけで (スコア:2)
読み、読み書き、読み書きDM の3種でしたっけ?
大抵のアプリは つぶやくために 読み書き くらいまでは権限取るので、ザルですよね。
『書き』でも、つぶやき と それ以外(フォロー/プロフィール更新 etc...) くらいは最低分ければ、ちょっとはマシな気がするんですが。
Re: (スコア:0)
えっ、そうだったんですか?
連携の許可をしようとする時には『ツイートを見る』『プロフィールを更新する』『新しくフォローする』といった風に細かく分かれて書かれてるので、プロフィール更新やらフォローといった、アプリの性質上必要ないはずの権限まで要求するのは作者が怠惰か邪悪かのどっちかだとずっと思ってました……
Re:ツイートさせようとするだけで (スコア:4, 参考になる)
読み
・ツイートを見る
の単独
読み書き
・ツイートを見る
・フォローしている人を見る、新しくフォローする
・プロフィールを更新する
・ツイートする
の一括セット
読み書きパスワードDM
・ツイートを見る
・フォローしている人をを見る、新しくフォローする
・プロフィールを更新する
・ツイートする
・ダイレクトメッセージを見る
・Twitterのパスワードを見る
の一括セット
この3択しかなく、「ツイートする」がないと何もできないに等しいからほとんどの連携アプリは読み書きで連携することになり、不要なfollow, unfollow, blockなどの許可もまとめてゲットすることになる。
古い (スコア:2, 参考になる)
現在の認可内容は以下のとおりで、少し違う。Twitterのパスワードはどの認可を与えてもアプリからは見れない。というか、見れたらOAuthの意味がないじゃないか。
Read Only
- タイムラインのツイートを見る
- フォローしている人を見る
Read and Write
- タイムラインのツイートを見る
- フォローしている人を見る、新しくフォローする
- プロフィールを更新する
- ツイートする
Read, Write and Access direct messages
- タイムラインのツイートを見る
- フォローしている人を見る、新しくフォローする
- プロフィールを更新する
- ツイートする
- ダイレクトメッセージを見る
Re: (スコア:0)
えー、昔は読み書きDM権限でパスワード見えてたってこと? 親コメが古いとかじゃなくて単に間違い(あるいはこの機に乗じてデマを広めようとしている)ならいいんだけど。
Re: (スコア:0)
しかしTwitterほどの有名で大規模なサイトがパスワードをハッシュ化せずに保存しているとは信じたくないな、いやはや。
Re:ツイートさせようとするだけで (スコア:2)
昔は認証の画面に「以下のことが許可されます」と「許可されません」の一覧表示があって、「許可されません」の方に「パスワードの閲覧」だけが
書いてありました。親コメはそれを元に書いてるのかと思いますが、DMもその他タイムラインも同じAPIでアクセスするものですし、パスワード原文を要求
できるというのは聞いたこともないです。アプリに必要なのはアプリ共通のConsumer Key, Consumer Key Secret("CK/CS")と、認証して発行される
Access Token, Access Token Secret だけです。
# 全面OAuth化される前にxAuthという選択肢があって、IDとパスワードをアプリに打ち込むとブラウザ不要でトークンを取ってきますよというものでした
# xAuthではアプリが抜く可能性があるので、それとは違うということを示すためにしばらく「パスワードは渡されませんよ」ということを書いてあったのかもしれないです
Re: (スコア:0)
Re:ツイートさせようとするだけで (スコア:1)
気持ちはわかるが、ゴミのようなアプリに権限委譲する方も悪い。
アクセス権を与えるリスクを考えてない人が多過ぎる。
Re: (スコア:0)
乗っ取られるまではちゃんとしたアプリだったんだよ。
Re: (スコア:0)
アプリの機能そのものがゴミって話では
Re: (スコア:0)
そればっかりは使う人の価値観だからなんともいえないのでは・・・
Re: (スコア:0)
こんな権限設定しかできないAPI自体がゴミなので
それを利用するWRITE以上の権限のある全アプリがゴミですな。
Re: (スコア:0)
おかしい、というか、素朴すぎる、というか。
「ツイートするだけ」という権限セットもあってしかるべき。
しかるべき、なんだけど、メッセージングインフラであることを捨てて
「お前ら全員純正アプリケーション使えよ」という態度に舵を切った Twitter 社に期待できることはほぼなにもない。
早く犯人が捕まらないかなー (スコア:0)
どんな属性の人間なのかが気になる
Re: (スコア:0)
サンドバッグ依存症ですな
Re: (スコア:0)
不愉快犯っぽいね。
ツイート数カウントくん (スコア:0)
の管理者は、放置プレイなんですかね?
「どの様にしてトークンキーが取り出されたかは、ntddk氏の推理を聞いてからにしようかと思います」
って、ntddkさんよりも管理者とやりとりすべき話だと思うんですが。
Re: (スコア:0)
同一人物なんでは。
Re: (スコア:0)
管理者は「サーバ自体が乗っ取られ、ログも全て削除され」たため分からないと言っているそうな
Re: (スコア:0)
「ここがザルだったのだよ。チミィ」といった展開って、その管理者にやるべきだと思うけど。
攻撃順序的にも、なんでそのアプリ狙ったのかとか気になること沢山あるよね。
Re: (スコア:0)
気に食わないから嫌がらせのために犯罪行為するような異常者の行為に関して文句言われてもなあ。
Re: (スコア:0)
サーバ自体が乗っ取られたことにして、
証拠も全部消したんだろうな、
仕事に支障が出るレベルならデータ復旧ぐらいやるだろ
なるほど4時 (スコア:0)
なる4の騒ぎを思い出した
こんなの [togetter.com]とかこんなの [togetter.com]とか
今回はトークンが盗まれたから原因は全然違うけど、oAuthがどういうもので、危険性がどこにあるのか理解しないままTwitter使ってる人が多い、って意味では何も変わっちゃいない
Re: (スコア:0)
ストーリーの主題とは関係ないですが、
「ドラえもん打ち切り!詳細は(URL)」→OAuth とか
「この写真何が怖いかわかりますか?」→OAuth とか
あからさまに怪しい OAuth 要求すらバンバン認証されてますからね。