Twitter のクライアントは、攻撃前のパスワードでサインインした状態をキープしている～OAuth、それはすでにリセットされたはずの危険なパスワードでのアクセスを可能にする（The Register）

しかしながら、その攻撃について Twitter が詳しく説明するために公開したウェブページの一部には、このように書かれている。「予防的なセキュリティ対策として、我々はパスワードをリセットし、これらのアカウントのセッショントークンを取り消した」。

国際 TheRegister

31 views

2013.2.12 Tue 8:30

Twitter は情報漏えいを検出したのち、250,000 人のユーザーに対してパスワードを変更するよう示唆してきた。しかし、その助言を心に留めているユーザーでも、Twitter API の使われたアプリケーション（公式のアプリを含む）が、いまだに新しいパスワードの入力をユーザに求めることなくアクセスさせていることに気づくだろう。

我々のオーストラリア拠点、Vulture South の The Register 読者たち（そして賢い悪ふざけを好む連中）は、彼らの利用している超簡易ブログサービス（Twitter）が攻撃されたことにより、彼らのアカウントが侵害されたという通知を受けた。Twitter は、攻撃を受けた事実を素早く公開し、さらにプライバシーが脅かされた対象となるユーザーの元へ、パスワードをリセットしなければならないことを知らせる通知を送ったのだった…

※本記事は有料版に全文を掲載します

（翻訳：フリーライター江添佳代子）

《ScanNetSecurity》

特集

PageTop

アクセスランキング

ランキングをもっと見る

PageTop

Twitter のクライアントは、攻撃前のパスワードでサインインした状態をキープしている～OAuth、それはすでにリセットされたはずの危険なパスワードでのアクセスを可能にする（The Register）

関連記事

Twitter、不正アクセスで 250,000 人分のメールアドレスとパスワードが漏洩～報道機関への攻撃に関連ありとの疑い（The Register）

オランダのスクリプトキディ、20,000人分の Twitter アカウントをクラック～あなたはどれぐらい負け組ユーザーたちに似ている？（The Register）

オーストラリア政府のサイバーセキュリティユニットが消費者の情報を郵便で紛失〜アップデート：AUSCERTがハッシュ化されたパスワードを含むDVDを置き忘れ（The Register）

一流スパイ：ISPブラックボックスは英国のWebスパイ計画のカギではないと語る〜GoogleやFacebook、Twitterがユーザーのデータを引き渡すことを期待（その2）（The Register）

特集

アクセスランキング

廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

日本製鉄ホームページで不審な認証画面

SCSK 公式ホームページで不審な認証表示

SOC サービスの実態に迫る：株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

経済産業省から報告徴収～九州電力送配電が顧客情報を保存した外部記憶媒体が所在不明に

関連記事

Twitter、不正アクセスで 250,000 人分のメールアドレスとパスワードが漏洩～報道機関への攻撃に関連ありとの疑い（The Register）

オランダのスクリプトキディ、20,000人分の Twitter アカウントをクラック～あなたはどれぐらい負け組ユーザーたちに似ている？（The Register）

オーストラリア政府のサイバーセキュリティユニットが消費者の情報を郵便で紛失〜アップデート：AUSCERTがハッシュ化されたパスワードを含むDVDを置き忘れ（The Register）

一流スパイ：ISPブラックボックスは英国のWebスパイ計画のカギではないと語る〜GoogleやFacebook、Twitterがユーザーのデータを引き渡すことを期待（その2）（The Register）

特集

アクセスランキング

廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

日本製鉄ホームページで不審な認証画面

SCSK 公式ホームページで不審な認証表示

SOC サービスの実態に迫る：株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

経済産業省から報告徴収 ～ 九州電力送配電が顧客情報を保存した外部記憶媒体が所在不明に

経済産業省から報告徴収～九州電力送配電が顧客情報を保存した外部記憶媒体が所在不明に