ユーザー名とパスワードを含む大量のTwitterアカウント情報が流出? 28
ストーリー by hylom
どうやって入手したのだろう 部門より
どうやって入手したのだろう 部門より
あるAnonymous Coward 曰く、
Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという(CNET Japan)。
流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net(キャッシュ)によると、5万5000以上のアカウント情報が漏洩しているとのこと。
ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。
また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。
実際の件数 (スコア:4, 興味深い)
重複を排除すると34,000件ぐらいダネ。
あと、なんで"com.br"が多いんだろう?
Re: (スコア:0)
これ全部スパムBotだったりしてね
Re: (スコア:0)
Anonymousのidという可能性も
まともなパスワードが多い (スコア:2)
自分のやつが漏れていないか調べたのですが皆さんけっこうまともな(複雑な)パスワード使っているんですね。
自分のやつはもっと単純なのではずかしい。
Re:まともなパスワードが多い (スコア:1)
紺屋の白袴ってヤツでしょうかw
パスワードが安全か調べるには(John the Ripper編) [atmarkit.co.jp]
Re: (スコア:0)
自分のやつが漏れていないか調べたのですが皆さんけっこうまともな(複雑な)パスワード使っているんですね。
自分のやつはもっと単純なのではずかしい。
あそこに載っているのって素のパスワードじゃないんでは?
Re: (スコア:0)
>あそこに載っているのって素のパスワードじゃないんでは?
自分もそうだろうなと思ったんですが、
ということなので、正しいパスワード情報も含まれていたのかな?
8文字でアルファベットと数字のみ、一見ハッシュ値のように見えますけど、
そういうパスワードのアカウントが選択的に抜かれたのかもしれません。
Re:まともなパスワードが多い (スコア:1)
Re: (スコア:0)
それなら、有名人のアカウントを最優先で抜くでしょう。抜いて公表してないだけかもしれないが。
重要なトピックが抜けてる (スコア:2)
「SNS [srad.jp]」というのもまあ間違いではありませんが「Twitter [srad.jp]」タグが付いていない(ように見える)のはどういうことでしょうか。このストーリでは付けるべきでしょう。
#そもそもタグに依る検索もどういう挙動をしているのかよくわからない。本文やAタグでtwitterという文字列が入っていたらリストアップしている?
公式コメント (スコア:2)
Twitterブログ: 昨日の「パスワード流出」というニュースについて [twitter.com]
流出元 (スコア:1)
まあ、普通に考えてTwitterが生パスワードを保持しているとは考えづらいし、もし生のデータベースにアクセスできたら、こんな数じゃ済まないので、どこかのフィッシングサイトに引っかかったやつを貼付けたのではという推定が出ていますね。
自分もそう思っています。
Re: (スコア:0)
テンポラリで出力したデバックログだったりして?
デバックログの管理はずさんなことも多いだろうし、消し忘れってこともあるかも?
古いサーバーを処分した時に、HDDにデータが残ってたりすると・・・流出する可能性はあるでしょう。
Re: (スコア:0)
Macのこと?
Re: (スコア:0)
Macって root 権限ないと見れないってやつ?
root権限ある時点で・・
どっちかというと、サムスンやHTCのアプリに近いでしょ。誰でも見れるところにログを残してしまったって
Skypeはさらにパスワードを平文で保存しちゃったというのもあったね。
Re:流出元 (スコア:1)
多分これのことを言っているのではないかと。
OS X Lion最新版、暗号化パスワードがプレーンテキストで保存される脆弱性 [impress.co.jp]
Re: (スコア:0)
twitterのIDとe-mailアドレスが混在しているしね・・・
Re:流出元 (スコア:1)
ログインって、IDでもメールアドレスでもいいんじゃない?
だから、どっちが使われているか、傾向がわかると思う。
Re: (スコア:0)
>ログインって、IDでもメールアドレスでもいいんじゃない?
だから、ユーザーがログインした(しようとした)時の入力の値(ID/e-mailアドレスとパスワードの組み合わせ)っぽいねってこと
Re: (スコア:0)
なるほど。
Re: (スコア:0)
OAuthがそういう危険性を内包してますからね。
本来Twitterで認証すべきなのに、直接入力させたり本当にTwitterにアクセスしてるのか見分けられなかったりするサイトが多い。
Twitter/Facebookアカウントが使えますってサイトは要注意
Re: (スコア:0)
「パスワードが漏出していないかチェック」とかでこの騒ぎに便乗したフィッシングサイトが現れそう(汗)
編集、仕事しろ (スコア:0)
表記のブレが多いよ。
ユーザー名、ユーザーアカウント、カウント名(原文ママ)、スパムアカウント、ユーザー
これとは無関係にパスワードリセットされた件 (スコア:0)
去年の12月に今騒がれてる問題とは関係ないだろうけど、ツイッター公式からこんなメールが着てた(@以下がpostmaster.twitter.comからのメール)
なぜかパスワードが勝手にリセットされてるのね
当時、ブラウザに記憶させていたパスワード情報でログインできないからメール見たらこういう結果だった
もう既にこの時点で漏れてたのかな
ちなみにDMの横取りリンクとか短縮URLのとかそう言うのを踏んだことは一度もないです
--ここから--
件名:Twitterは、あなたのアカウント ( @アカウント名 ) のパスワードをリセットしました。
内容(一部抜粋)
アカウント名さん、こんにちは。
Twitterと関係ないサービスやウェブサイトによって、あなたのアカウントが乗っ取られている危険性が高いと判断いたしました。
他の人がこのアカウントへアクセスしてしまうことを防ぐため、あなたのアカウントのパスワードをリセットしました。
お手数ですが、新しいパスワードを設定してください。以下のリンクで新しいパスワードを選択できます。
(URL省略)
--ここまで--
Re: (スコア:0)
ソーシャルハックの典型ですね。本当に正真正銘twitter.comからのメールだったと確信を持って断言できますか?
Re: (スコア:0)
そうですか、テキストで説明されただけじゃそう思いますよね
こういうメールだったんですがあなたはこれを見てどう判断しますか?
http://www.age2.tv/rd05/src/up6474.png [age2.tv]
ツイッターに登録しているメールのエイリアスに届いていること、URLを手打ちして表示したツイッターサイトにログインしようとすると
パスワードが違うと弾かれるのでこのメール内容は嘘ではない、などが理由で本物だと信じました
以上の判断でその判断は危ない、などがあったらぜひ今後のために指摘してください
Re:これとは無関係にパスワードリセットされた件 (スコア:1)
これですね [twitter.com]、去年の12月中旬ごろ結構話題になりました
Re: (スコア:0)
オフトピだけど、「twe助け」ってfoursquareみたいな誤植 [itmedia.co.jp]かとおもた。
# pronounceはとぅえだすけ?