「レイバン激安」Twitter乗っ取りでスパム送信、勢い衰えず 有名人も被害に
問題のスパムは、ブランド品通販サイトのURLや商品画像を、ほかのアカウントにあてた「@」付きで投稿するもの。アカウントの持ち主が意図したものではなく、スパム業者がアカウントを乗っ取って投稿しているようだ。誘導先の通販サイトでは、ブランド品が極端な低価格で販売されており、偽ブランド品や詐欺サイトの可能性もある。 最近目立っているのは、「レイバンのサングラスファッション特価特典として、2499円! 今日限り」など宣伝するスパムツイート。3月6日現在、Twitterで「レイバン」を検索すると大量にヒットする状態で、芸人のぜんじろうさんも被害にあい、5日、「スパム送信、、、失礼いたしました。。。」と謝罪している。 Twitterでは不正な連携アプリによるスパムツイートが流行することが多いが、今回のケースは、他社などから流出したパスワードリストを悪用し、多数のアカウントに不正ログインするリスト型攻撃
Twitter、端末にインストールされたアプリの一覧収集機能を追加
米Twitterが公式アプリで、ユーザーのモバイル端末にインストールされたアプリの一覧を収集する「アプリリスト」機能を次期アップデートで追加する。同社からの発表はまだないが、米re/codeが11月26日(現地時間)に報じた。既に日本語のヘルプページも用意されている。 re/codeによると、iOSアプリは同日、Androidアプリは来週以降のアップデートでこの機能が有効になる見込み。 Twitterはアプリリストの目的を、「ユーザーの興味に合わせてカスタマイズされたコンテンツをお届け」するためとしている。同社の収入源であるターゲティング広告や「おすすめユーザー」、フォローしていないユーザーのツイート表示などの精度向上が狙いだ。 例えば端末に多数のゲームアプリをインストールしているユーザーにはゲーム関連の広告を表示したり、Angry Birdをインストールしてあれば新バージョンのお知らせプ
Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、「被害にあった方々に深くお詫びする」と謝罪している。 ツイート数カウントくんは、1日のツイート数をカウントし、自動でつぶやくTwitter連携アプリ。アクセストークンは、Twitterアプリを認証した際、そのユーザーに代わってフォローやブロックなどの操作を行える鍵。この鍵が何らかの原因で流出し、ユーザーのアカウントが実質的に乗っ取られた形になった。 ブロックを受けたユーザーが13日、「一晩で大量にブロックされた」とTwitterで報告。数日で12万件のブロックを受けたという。意図せずブロックしていたユーザーに連携アプリリストを公開してもらうなどして調べたと
TweetDeckにXSS攻撃、すでに脆弱性を修正済み
米Twitterの公式クライアントアプリケーション「TweetDeck」は現地時間2014年6月11日、セキュリティのバグ修正を完了し、全ユーザーに対するサービスが復旧したと、公式アカウントを通じて発表した。複数の米メディア(Wall Street Journal、WIREDなど)の報道によると、TweetDeckは同日朝から、クロスサイトスクリプティング(XSS)攻撃を受けていた。 6月11日の朝、ユーザーがTweetDeckにログインすると、ランダムなポップアップメッセージが表示される現象が発生した。メッセージは「Yo!」「HACKED」、あるいは往年のヒット曲の歌詞「NEVER GOING TO GIVE YOU UP, NEVER GOING TO LET YOU DOWN」などさまざまだった。また、ユーザーの知らないうちに、ランダムなコードを含むメッセージがリツイートされた。 T
止まらないTwitterスパム!今度は「この画像分かる?」で1万5000人が被害:ITpro
Twitterのアプリを利用したスパムの勢いが止まらない。今度は「この画像何だか分かる!?!?」という謎かけによるもので、すでに1万5000人以上がひっかかっている。巧妙な仕掛けが施されているとはいえ、だまされてしまうユーザー側の責任も大きい。 謎かけに見せかけたアプリを悪用、前回よりも凝った仕掛けに 日経トレンディネットの前回記事「Twitterで3万5000人が被害! 恥ずかしいツイートを発信する悪質スパムが流行」で問題になったスパムが、形を変えて大量に出回っている。筆者が確認しているだけでも、すでに10種類以上は存在しており、勢いはさらに増しているようだ。 現在もっとも目立つのは、「この画像何だか分かる!?!?」と謎かけするツイートだ。
Twitter、ツイート経由で直接購入可能なシステムを計画か
Twitterは、ユーザーがツイート経由で商品を直接購入できるようにする計画であることをまだ認めていない。しかし、このほど公開されたモックアップは、そのようなシステムがまもなく登場することを示唆している。 Re/codeが最初に発見し、本稿執筆時点ではまだ公開されていたモックアップによると、ユーザーは、「Twitter Commerce」という名称になる可能性があるシステムを通じて、ツイート内から直接購入が行えるようになるという。 このモックアップからは、ユーザーのフィード内の購入オプションを含むツイートには「Twitter Commerce」ラベルが表示されることが分かる。クリックしてそのツイートを開くと、「Buy with」ボタンが表示され、そこからEコマース取引を開始できるようだ。購入者は続いて自分のクレジットカードや関連する支払情報を入力する。これらの情報を初回以降も入力する必要が
流行しているらしいTwitterスパムをまとめてみた。 - piyolog
Twitterを使ったスパムが多数確認されているようで、Twitter社も注意喚起をしています。以前PlaysNowでも似たような騒ぎがありましたね。 この件を取り上げている記事・まとめも沢山あります。 「ドラえもん打ち切り決定」「松本潤と井上真央電撃婚」などのデマツイートに注意 Twitterアカウント乗っ取られるおそれ - ねとらぼ “「ドラえもん」放送打ち切りが決定”ツイートはスパム アプリ連携は絶対ダメ : I believe in technology 「ドラえもん放送打ち切り」と言うツイートのURLに飛ぶと凄い事になるとTwitterで話題に【アプリ認証しちゃダメだよ】 | Web論 松本潤と井上真央が電撃婚したという自動ツイートスパムが横行!|| ^^ |秒刊SUNDAY Twitterでスパムツイートが大流行中…簡単なスパムアプリの見破り方と連携解除方法 | Web論 pi
糸井重里、佐々木俊尚のアカウントも乗っ取られた!「ツイッターニュース24」というスパムに注意!
2月1日の深夜あたりから、こんなツイートが回っています。 【画像あり】 Mステでおっpいポロリ放送事故ww 2chの反応 「まじだったwww」 画像→ これはマズいでしょ・・・。 クリックすると、アプリ認証画面が出て、うっかり認証すると大変なことに。 まさかの糸井重里さん(フォロワー63万)、佐々木俊尚さん(同19万)が踏んで大騒ぎ。 糸井 重里@itoi_shigesato 日曜日の午後に、なんとアブナイことをしていたのだろうか。「Mステで」ではじまるツイートのワナに、じぶんがはまってました。さらにそこから波及してご迷惑をおかけした方々、もうしわけございませんでした。 2014/02/02 13:37:00 佐々木俊尚@sasakitoshinao やっときました。ありがとうございます。 RT @kamiyamasahiko 佐々木さんまでスパムアプリの被害に。Twitter News2
金爆・鬼龍院、“有名税”に困る…ツイッターで引っ越し情報が流出し、急きょ取りやめ|シネマトゥデイ
ツイッターでの情報流出に困惑した様子の鬼龍院翔 人気エアーバンド・ゴールデンボンバーの鬼龍院翔が8日、個人情報のインターネット流出に「有名税また上がったんだねぇ」と困惑した様子を見せた。同日に鬼龍院は引っ越しを予定していたが、引っ越し業者のスタッフがそれをツイッターで漏らしてしまったのだという。 鬼龍院は8日夜、フォロワーからの「翔さんのお引越し手伝ったっていうTweet見つけたんですが……」というツイートに対して、「教えてくれてありがとう…!本当に今日引越し業者にお願いしてたんでゾッとしました…」と返答。続けて「依頼した業者さんが今日引越しってツイートしちゃったみたい、恐ろしい時代だ…(((^-^)))今日は仕事で出払ってたんだけどすぐに連絡して引越し取り止めにしました」と経緯を明かした。 「しかし有名税また上がったんだねぇ、これも紅白効果だろうか…(((^-^)))笑」と冗談めかしたも
盗まれた約200万件の認証情報DB、研究者が発見--FacebookやTwitterなど
Facebook、Yahoo、Twitter、Googleなどの人気サービスから盗まれたアカウント情報を満載したオンラインデータベースが、研究チームにより発見された。 セキュリティ企業TrustwaveのSpiderLabsチームが、盗まれたユーザー名とパスワード158万件が入ったこのデータベースの存在を、12月3日付のブログで明らかにした。これらのログイン認証情報は、31万8121件がFacebookのアカウント、2万1708件がTwitterのアカウント、5万4437件がGoogle関連のアカウント、5万9549件がYahooのアカウントに関連するものだった。加えて、このデータベースには盗まれた電子メールのアカウント認証情報が約32万件含まれていた。このサーバーに残されていた被害アカウントの残りは、FTPのアカウント、リモートデスクトップの詳細、Secure Shell(SSH)などだ
Twitterの2要素認証に実害あり? 正規ユーザーが締め出される恐れ
F-Secureによれば、ログイン情報を盗み出した攻撃者が無作為の電話番号を勝手に登録し、正規ユーザーを締め出してしまう恐れもある。 相次ぐアカウント乗っ取りに対抗する手段としてTwitterが導入した2要素認証のオプションについて、フィンランドのセキュリティ企業F-Secureが検証結果をブログで公表し、「実害の方が大きいかもしれない」と警鐘を鳴らしている。 Twitterの2要素認証は、アカウントに携帯電話番号を登録しておくと、以後のログインにはその番号あてに毎回送られてくる6けたのコードの入力が必要になる仕組み。 しかしF-Secureによれば、Twitterはセキュリティ対策とは別に、SMSを使ってツイートを送受信できる機能も提供している。この機能では、ローミングなどの料金がかさむのを食い止めるため、TwitterあてにSMSで「STOP」というテキストを送って、自分のアカウントの
Twitterが2段階認証を導入、アカウント保護を強化
米Twitterは現地時間2013年5月22日、アカウント乗っ取り防止策として2段階認証を導入したと発表した。これにより、アカウントにログインしようとしているユーザーがアカウント保持者本人であることをより厳重に確認する。なお現在のところ日本向けには2段階認証を提供していない(Twitter Japanのブログ記事)。 2段階認証を有効にするには、設定ページのアカウントセキュリティ項目で、「Require a verification code when I sign in(ログイン時に認証コードを要求する)」のチェックボックスにチェックを付ける(写真)。「add a phone(電話番号を追加)」リンクをクリックし、指示に従って携帯電話番号を登録する。 設定が完了すると、次回からアカウントにログインする際に、携帯電話にショートメッセージングサービス(SMS)経由で送られてくる6桁の数字を入
APのTwitterにハッキング--「ホワイトハウスで爆発」と虚偽ツイート
問題のツイートが出た直後から、すべて大文字で「BREAKING」ニュースとつづる通常の表記が使われていないのは怪しい、ウェブから送信というのはAPのフィードとしては不自然だ、といった疑問点を指摘するツイートがTwitter上にあふれた。 ホワイトハウスが万事順調である証拠が足りないという人には、この記事を書いている時点で記者会見の中継が行われていることを挙げておこう。 とはいえ、この虚偽の速報は、市場をパニックに陥れることには成功した。Dow Jonesの工業平均株価は急落して100ポイント超を下げ、その後急速に回復した。 記事執筆時点で、APのメインアカウントである「@AP」はオフラインになっている。今回の事件について、ハッカーグループ「Syrian Electronic Army」(シリア電子軍)がAPの虚偽ツイートを実行したと、やはりTwitterを通じて主張しているようだ。
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com Twitter で TweetDeck Tweetbot for iOS HootSuite iOSのデフォルトアプリ ShootingStar/Pro 等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました まず、アプリケーションを起動し
Twitter公式クライアントのコンシューマキー
Twitter for iPhone Consumer key: IQKbtAYlXLripLGPWd0HUA Consumer secret: GgDYlkSvaPxGxC4X8liwpUoqKwwr3lCADbz8A7ADU Twitter for Android Consumer key: 3nVuSoBZnx6U4vzUxf5w Consumer secret: Bcs59EFbbsdF6Sl9Ng71smgStWEGwXXKSjYvPVt7qys Twitter for iPad Consumer key: CjulERsDeqhhjSme66ECg Consumer secret: IQWdVyqFxghAtURHGeGiWAsmCAGmdW3WmbEx6Hck Twitter for Mac Consumer key: 3rJOl1ODzm9yZy63FACdg Consum
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
Twitterブログ: より安全にご利用いただくために
すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもともと設定されているJava(プログラムのひとつ)をオフにされました。 今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
TwitterのOAuthの問題の補足とか