秋のDK収穫祭 - side=2(2007-11-29)

秋のDK収穫祭深夜3時になってTwitterを騒がせた、いわゆる「DK祭り」。何があったのかというと、Twitter / dankogaiのパスワードがバレちゃって、勝手に発言されるわアイコンが糸柳ミクになるわの騒ぎになったわけです。祭りになるまでの流れはotsuneさんのまとめがわかりやすいので引用してみる。 reploreがdankogaiのパスワードを推測で入れて成功 ↓ いたずら投稿する ↓ takehara37もパスワード推測して発見。それをHamachiya2が投稿でばらす ↓ 発見者がパスワード変更してDKにメールする ↓ ログインした別人がパス戻す ↓ 祭り dankogaiは普段ブログの更新URLばかり投げているので、いきなり「だんでーす（笑）」なんて発言があった時点で異常に気付いた人が結構いたみたい。祭りの間にdankogai名義で投稿された発言はnipotumblr

[tomo31415926563]

なぜ、kogaidanのパスワードがよく使われるかについて。

[kunipon]

スマホから見ると弾さんのブログもエロ広告で感慨深かった。RT @Hamachiya2: twitterのパスワード流出といえばこれが有名ですね。全世界共通パスワードが誕生した瞬間です

[webmarksjp]

プライバシー

[poppen]

秋のDK収穫祭

[twainy]

さすがにこのパスワードはあかんやろ……

[FTTH]

ピコーン（電球）　銀行とか通販サイトとかにブルートフォースしたら面白くなったりしね？？？　……あれ、これ教唆？？

[rna]

「その抜かれてしまったパスワードはkogaidanだったわけですよ」(´・ω・｀)

[hasegawayosuke]

twitterではパスワード変更は今のパスワードの再入力が必要なのでCSRF/XSSでは変更はできない。Forgeされる＜前＞のパスワードも貧弱だったのではないかと想像。

[adsty]

荒らしに至るまでの経緯。そんなことがあったのか。「抜かれてしまったパスワードは○○○」には驚いてしまったけど。

[andalusia]

これはすごいCSRFですね。

[I11]

祭りをしたから実害がほとんどないままバレた。このテのハックは祭などせず静かにずっとノゾキ続けて利用するのがセオリー。パスを手に入れた人がバカだったのが不幸中の幸い。

[tohokuaiki]

うーん。国内法では例えパスを推測で入れてもN.Gなんだよな。結構厳しいです。

[yamifuu]

kogaidanだったのか・・・はまちちゃんが冗談でkogaidan++やってるかと思ってた

[as365n2]

パスワードは「kogaidan」

[t-murachi]

←ここでプライバシータグを使用する理由は、「安易なパスワードを設定していたかどうか」が、件の dankogai 氏のブログエントリーを見る限り、「知られたくない事実」であるように見受けられる為。

[toshiwo]

dankogai

[nirvash]

今回のネタを振るために、あえて抜かれやすいパスワードにしていた断固外の釣りと考えてみる。

[dankogai]

一言だけ。それがForgeされた＜後＞のPWである可能性を誰も指摘していない。Sessionが生き残っていて助かったのは被害者の方でもあったりする。

[akky_cc]

抜かれたパスワードが明らかに

[sho]

これはパスワードとは言わない。

[cubed-l]

パスワード？

[KoshianX]

サービスの重要度でパスワードの強度変えるのはあたりまえじゃね? twitter程度に強固で長いパスワードとか入れてる人あんまいなさそげ

[ockeghem]

ほとんどJOEアカウントだったわけね。で、dankagaiはうろたえてCSRFのせいにして墓穴を掘ってしまった?

[harupong]

秋の夜長のDK祭り、だそうです。さすがに警察は動かんとおもふ

[kmachu]

ある意味サービスレベルに応じてパスワードのレベルも使い分けてるということで。

[yachimon]

利用するサービスの重要度に応じてパスワードの強度変えるのは当然だとしても[これはひどい][パスワード]。セッション管理甘めにする事で得られる益ねぇ…password変更後くらいinvalidateしてほしいってのは同意だよねえ。

[penalty]

コレは・・・ひどい

[kurimax]

すごいPASSだな…

[tsupo]

まとめると、パスワードは容易に推測できないフレーズにしましょうってことで