「@N」というTwitterアカウントを持っていた男性、ソーシャルハックを駆使されてアカウントを盗まれる 45
電話サポートには注意しましょう 部門より
TwitterクライアントEchofonの開発者であり、「@N」という1文字のTwitterアカウントを所持していたNaoki Hiroshima氏が、そのアカウントをソーシャルハックで盗まれたことを明らかにしたことが話題になっている(にぽたん研究所:50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯、NBC News:Details and denials emerge in twisted tale of @N Twitter extortion、The Next Web:The original owner of @N still hasn’t got his Twitter account back – someone else snapped it up)。
氏は独自ドメインのメールアドレスをTwitterに登録していたのだが、攻撃者はそのレジストラ(GoDaddy)へのソーシャルハックによってドメインに関する操作権限を奪い、続いてメールアドレスを奪ってTwitterやFacebookなどのアカウントにアクセスしたそうだ。Hiroshima氏はシリコンバレー在住のエンジニアであり、GoDaddyやTwitterの中の人とも連絡を取ったもののアカウントを取り返すことはできず、最終的に@Nアカウントを手放す代わりに攻撃者からGoDaddyのアカウントを取り返すことになったという。
また、GoDaddyのアカウント奪取にはクレジットカード番号が必要だったが、その情報の一部(クレジットカード番号の末尾4桁)はPayPalに電話をかけることで入手できたという。さらに、GoDaddyはその末尾4桁+推測した番号だけだけで本人確認を行っていたそうだ。
今回の件では、PayPalなど、クレジットカード番号を登録している会社は簡単にその番号を第3者に漏らしてしまう可能性があること、またクレジットカード番号の一部だけで本人確認をしてしまう残念な会社があるということが判明したことも波紋を投げかけてるようだ。ちなみに、以前「iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される」という事件があったときも電話を使ってアカウントの奪取が行われていた。
たれこみタイトルの方が良かったかも (スコア:5, 参考になる)
> 続いてメールアドレスを奪って
ではなくて、ドメイン取られたので、メール(独自ドメイン使用)が自動的にのっとり相手に届くようになったのに...。
Re: (スコア:0)
Twitterのアカウントも、脅しに折れる形で自ら明け渡してるようですしね…。
ちゃんとソース読んでるのかと。
Re: (スコア:0)
@Nアカウントをリリースした直後に友達に獲らせて、
「リリースしたぞ。好きに持ってけや」って答えておけば、第二ラウンドを戦えたのにね。
まあ、その時は奪われたドメインがどうなってたかは判らんけど。
HuckせずともFacebookアカウントは取れるらしい (スコア:5, 興味深い)
既設のアカウントでは無いですが、自分のgmailのアドレスで、アメリカの出会厨のおっさんにFacebookのアカウントを新規に取られました。
Facebookのアカウントの消し方がどうしても分からず、パスワードを変えて塩漬け。
いまだにそのおっさん、私のアドレスで出会系SNSに登録するらしく、見たことの無いサイトのConfirmationが時々来ます。
DeactivateしようがAbuseをReportしようが、ひたすら色々送りつけてくるとこもあって、とっても迷惑。
今気付いた・・・FacebookだとAllen Dullesだったのに、違うサイトのはAllen Scottだ。
どっちでもいいけど、この世から去って欲しい。
Re:HuckせずともFacebookアカウントは取れるらしい (スコア:3, 参考になる)
同じくGmailのアドレスでFacebookのアカウントを勝手に作られました。
よく覚えていませんが、削除するためには個人情報の書き換え・パスワードの変更・アカウントの削除申請の3つが必要だったと思います。
Re: (スコア:0)
なにもしてないのに、というあれですか?
gmailのパスワードは変えたんだろうか
Re:HuckせずともFacebookアカウントは取れるらしい (スコア:2)
もちろんgmailのパスワードは即座に変更。業界関係者以外にはランダム文字列に見えるようなものに。
他人のメールアドレスでも、携帯の番号を登録するとそっちで認証されるらしい。
削除申請で携帯番号入れろとか出てきて、こんなところに番号渡すのいやだから、サポートに
「知らん人が取ったので、消してくれ」と何度も送ったけど、全部無視られた。まぁ、つたない英語ではあるが。
これ以来、別のメールアドレスで取ったFacebookアカウントも使ってない。
気に入った、俺の妹をhuckしていいぞ (スコア:0)
Huckというのはhackとfuckの合成語ですか?
独自ドメインのほうが危険だったか… (スコア:4, 興味深い)
原文も読んできましたが興味深いですね…。
僕自身、gmailみたいなフリーのアドレスより独自ドメイン自前サーバのメールのほうが安全と思ってFacebookやTwitterは自前のアドレスで登録していましたが、レジストラをソーシャルハックされるとメールが全部他のサーバへ引っこ抜かれる危険性があるとは盲点でした。
GoDaddyやPayPalがちょろすぎたというのはありますが僕が使ってるレジストラもどこまで信用できるかは疑わしい…(安いとこだし)。
まあ、盗まれるような価値あるものを持ってないから気にする必要はないっちゃないんですが。
Re: (スコア:0)
誰も知らないドメインなら狙われることすらないかもしれないし。
某MSのフリーメール使っていて行ったことない国からのログオン履歴が残っていたこともありますよ(しかも問い合わせがめんどくさいんですよね、あそこのメール)。
Re: (スコア:0)
whoisに登録するという前提なら誰も知らないということはありえない。
Re: (スコア:0)
それ以前に登録代行は知ってるだろ。
Re: (スコア:0)
あなたがメールを送ったことのある相手の誰か一人でもLINEを使っていたら?
Re: (スコア:0)
ログイン試行方法から侵入後どうすれば情報をとれるかわかってるメールアドレスと、侵入しても対して権限のないかもしれない独自ドメインのメールアドレス、今回みたいに個人をピンポイントで狙うんじゃない限り無差別攻撃の対象となる有名なドメインの方が危険だと思うんだが。
Re: (スコア:0)
LINEを使っていなくても、スマホを使っていれば?
ですね、言うなれば
これだから (スコア:1)
電話は嫌いなんだよ。
出ちまったら見なかったことにできないし、名前を聞かれた後だと、
それがどんなに無茶なことでも無下に断りずらいし
Re:これだから (スコア:2, おもしろおかしい)
だからオレは電話に出んわ
Re: (スコア:0)
嫌いな電話を持たなければ
電話番号を要するサービスを利用しないわけで
Re: (スコア:0)
言われて断ることは出来ないくせに、その前に見なかったことにするのは出来るんだ…
何そのメンタリティー……
Re: (スコア:0)
古来より居留守という技術がある、
狸寝入りという技術もあるな。
# 見なかったことにする方が簡単だと思うが
Re:これだから (スコア:1)
いや、見なかったことにするだけならいいんですよ。
出ない事が断りの意思表示にもなるでしょう。
ただ、出ない理由が「出たら断れないから」じゃあ駄目駄目。
Re: (スコア:0)
意図がわかってないようだな…
そういうことじゃないんだよ
Re: (スコア:0)
いや、もしかすると的を外した返答をすることによって
「無下に断りづらいなら、こういう的を外した返答をすればやり過ごせる」
というメッセージを送っているのではないだろうか?
前の件でも思ったが (スコア:1)
番号の確認のための開示(漏洩)について、PCI DSSとかに規定ないのかな?(作るとか、規格はなくても業界で暫く「こういう風にして揃えられないようにしよう」とか)
パズルして組み立てられちゃうような状態だと番号が意味なくなると思うんだけど。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
つか、そもそも
”クレジットカード番号で本人確認”
そのものを全般的にやめろ。
と思うが。
一部だろうが、全部だろうが
"絶対に本人と相手しか知らないものではない"
んだから。(他のネットショップで決済していれば知っている)
@Nの価値 (スコア:1)
@Nというアカウントに一般的な価値があるっていう意味が良く分からない。
N氏と奪った奴的には価値が高かったのだろうということはまあ想像できるけど。
Re:@Nの価値 (スコア:1)
欲しがったのは星新一だろうね。
>エヌ氏
次はエフ氏が危ないかも。
Re: (スコア:0)
N氏はアカウントを手に入れるのに5万ドル使っているわけで、時価とはいえ、一般的に換金性があるだろうってことは想像に難くないんじゃないかな?
Re: (スコア:0)
"「5万ドルでゆずってくれ」と言われたことがある" だけでわ?
Re: (スコア:0)
今にして思えば、結局タダで手放す羽目になるならそのとき譲っておけばよかったな。
Re: (スコア:0)
車のナンバープレートや、電話番号みたいなもんですかね
下四桁1129って電話番号の人が焼肉屋から譲ってくれと言われるように
今後@Nは誰が使うのだろう (スコア:0)
この一件で @N は盗品であることが明らかになったわけですが、今後このアカウントは誰が何のために使うんでしょうね。
Re:今後@Nは誰が使うのだろう (スコア:5, すばらしい洞察)
というか、盗品であることが明らかなんだから、Twitterの運営が
本来の持ち主へ返せよ……と思うんだけど、そう簡単ではないのかな。
考えてみればTwitterって、メールアドレス以外はデタラメな
情報を入力しても通るわけで、本人確認手段がないのか……。
Re:今後@Nは誰が使うのだろう (スコア:5, すばらしい洞察)
この騒ぎは、@Nアカウントを欲しがっているNaoki Hiroshima氏によるソーシャルハック、という可能性を否定できないですからね。
Re: (スコア:0)
ログとかあるんだし確認可能だろ。
前例や特例を作りたくないだけだろ。
Re: (スコア:0)
強奪なので第三者的には贈与か強奪かを証明するのは難しい。
Re: (スコア:0)
メールアドレスもデタラメでも当分はつぶやけるよ。メールアドレス認証とかないし。
そのメールアドレスの持ち主が存在するならパスワードリセットされる可能性が高いけど。
Re: (スコア:0)
勝手に使われたメールアドレスでも、パスワードリセットすると、不正アクセスになる可能性が……
対策 (スコア:0)
Paypal はクレカ情報の漏洩を否定 (スコア:3, 参考になる)
Twitter [twitter.com]で知ったが、Paypal は支払い情報の漏洩を否定 [thenextweb.com]しているそう。
モデレータは基本役立たずなの気にしてないよ
げ、 (スコア:0)
ドメインのレジストラをソーシャルハックしてドメイン盗難とか酷すぎる
これ法的とか技術的とか阻止可能なドメイン登録を用いるレジストラを使うと、今度は申し込みがめんどくせーとか言う事態をまねくのか。
うーむ、
これ本人の側で即時対応可能じゃないのがもんだいじゃないの?
ソーシャルハックって人間の問題なのでシステム的に保護できないよね。
あとクレカ情報抜かれてるのも困る、とっても!!
paypal捨てた方が良いん?
Re:げ、 (スコア:1)
この件の場合、カード番号の断片だけで本人確認としてしまったGoDaddyが一番間抜けじゃないの。
対策としてはレジストラにカード番号を渡さないことか。
銀行振込とかコンビニ払いとか。日本のレジストラじゃないと無理だけど。
Re: (スコア:0)
日本ならお企業様のささいなミスを下々が文句を言うのは許せん!となるけど、懲罰的損害賠償喰らってトレジストラ閉鎖の危機という事態にでもなりゃ一罰百戒で安全になるんじゃねーの?
Re: (スコア:0)
業者が割りに合わない商売と考えて、ことごとく廃業or大幅値上げするかもね。
Re: (スコア:0)
日本のドメイン屋だとカード番号は決済代行会社に丸投げ(自分では管理していない)ところも多いよ。
「カード番号を自社サイトに入力させたがるようなところは使わない」に尽きるでしょう。
関連ストーリー: http://security.srad.jp/story/14/01/31/227216/ [srad.jp]