- 2009-12-18 (金) 18:08
今日の15:00頃にtwitter.comがクラッキングされて、全く異なるトップページが表示されていたようです。
私が見た時は単に接続ができない状態だったのですが、DNSを不正に書き換えられてtwitter.comが別サーバに向くようになっていました。
すでに各サイトで技術的な解説はされているので、タイムラインで懸念されているアカウント乗っ取りについて図を書いてみました。
通常時
OAuthを使っていない多くのTwitterクライアントは、Basic認証を使ってアカウントの認証を行っています。つまりTLを取得するなり、postするなり、twitter.comへのリクエスト毎にアカウントIDとパスワードを毎回送信しています。
今回のクラッキング(DNS書き換え)
今回のようにDNSを書き換えられて、twitter.comがクラッカーのサーバを指し示すようになると、当然ながらリクエストがクラッカーのサーバに送信されます。
Twitterクライアントは、それがクラッカーのサーバとは知らないので、せっせとアカウントIDとパスワードを送信してしまいます。
もしクラッカーのサーバに送信されたIDとパスワードを保存する仕組みを持っていたら、がっつり収集されてしまいます。
復旧後
現在は無事に復旧して、twitter.comは本来のサーバを指すようになっています。
しかしクラッカーのサーバには収集したIDとパスワードがたんまりと残っています。もしその気になればIDとパスワードを使ってアカウントを乗っ取るのは造作もないことです。
じゃあ、どうするか?
じゃあ、パスワードを変更すれば良い、というのが一般的なアプローチです。
パスワードさえ変えてしまえば、クラッカーが収集したパスワードではログインできませんので、一件落着です。
しかし、Twitter自体にも問題があって「パスワードを変更するとアカウントがロックされてしまう」というような話があります。
もう2ヶ月も前の話なので、今は大丈夫かもしれません。ただアカウントをロックされる可能性もあるので、パスワード変更も積極的にはおすすめできなかったりします。
ということで何とも動きが取りづらいのが正直なところです。。。アカウントロックの問題が解消されているのであれば、パスワード変更した方が良いのですが。
- Newer: 関西アンカンファレンスを開催しました&運営してわかったこと
- Older: 御座候のTwitter botを作りました
コメント (Close):2
- Cake 09-12-18 (金) 18:22
-
アカウントがロックされることを知らなかったので、
パスワード変更しまてしまいましたが、大丈夫みたいです詳しい解説ありがとうございます
- shinbara 09-12-18 (金) 22:32
-
Cakeさん:
無事にパスワード変更できて良かったですね:-D
変更しても問題無かった人が多いようです。
トラックバック:3
- このエントリーのトラックバックURL
- /blog/2009/12/twitter_cracked_20091218.html/trackback
- Listed below are links to weblogs that reference
- Twitterクラッキングによるアカウント乗っ取りを図にした from Shin x blog
- pingback from Twitterクラッキングによるアカウント乗っ取りを図にした | Shin x blog « とっても! ちゅどん(雑記帳) 09-12-18 (金) 20:30
-
[…] Twitterクラッキングによるアカウント乗っ取りを図にした | Shin x blog Twitterクラッキングによるアカウント乗っ取りを図にした | Shin x blog […]
- pingback from 12月19日 今日のTop「日本版スリーストライク法に断固反対する」 | P2P today ダブルスラッシュ 09-12-19 (土) 13:29
-
[…] [Twitter]Twitterクラッキングによるアカウント乗っ取りを図にした | Shin x blog […]
- pingback from Twitter、クラックとDNS障害と時々ロック事件 - CUTPLAZA TERMINAL 09-12-20 (日) 15:51
-
[…] 【Twitterクラッキングによるアカウント乗っ取りを図にした | Shin x blog】 […]