Twitterのパスワード流出の話で思ったこと

最初に記事が流れた時、こんなことを思った。

ほんとにTwitterアカウントのID or Email/PWのセットなのっ?

この手の話は「ぜんぜん関係ない文字列やEmailでございました」というオチも多い気がするので。

大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

http://blog.jp.twitter.com/2012/05/blog-post.html

ということはいちおうTwitterアカウントのID or Email/PWのセットが含まれていたということだろう。
ちょっと驚きですね。

どこから流出したの?

Twitterから?55000件って少なくない?って思った。

これらのアカウントはTwitterではないサイトから出たものと考えられます。

http://blog.jp.twitter.com/2012/05/blog-post.html

"出たもの"って。。。
ではどこから"出た"のだろうか、少し考えた。
ID or Email/PWの組み合わせを知ってるところで思いつくのは・・・

  • 1. フィッシングサイト
  • 2. xAuth実装しているアプリケーション

しかし、spam送りつけてBanされた(と思われる)ようなアカウントがフィッシングに引っかかるものでしょうか???
「xAuth使ってて、このツール使えば簡単にSpam DM送れますよ。」みたいな何か(サービス)とかがあるなら怪しい気がした。

こういうとき、xAuth使ってるアプリケーションは疑われてもしょうがない

ID or Email/PWの組み合わせを触ることができるxAuth利用してるアプリケーションはこういう時に疑われても仕方がない。
どうやって正しくID/PWを扱っていることを確認すればいいのか。JSみたいに外からソース丸見えになっててその正当性を第3者機関が保証してくれるようなしかけがあるのか。
代替となるOAuthの実装というとモバイルアプリの場合詳しい人たちでもいろいろ議論になるところは多いけど、それ差し引いてもやっぱりxAuthは使わない方が良いと思う。
(だいたい、「xAuthを利用してます」ってログイン画面に書いてるやつなんなんだ。idconを合コンかこんにゃくか何かと思うぐらいの普通のユーザーにそんなこと言っても意味が分からんですよ。)

信頼できるサイトとは〜

(1) ログインされるサイトが信頼できるサイトかどうかをご確認下さい。残念なことに、インターネット上にはまだいくつものフィッシングサイトが存在します。URLの確認をしましょう。

http://blog.jp.twitter.com/2012/05/blog-post.html

これはURLがTwitterかどうかを確認しろという話なのか。
だとするとxAuth使ってるところがやっかいになるのでこんな書き方したのか。

いい機会なので、「xAuthの機能をやめて、Twitter以外にPWまで教えてくれるなよと言い切ればいいのに。」と思っている。
そうすればTwitter側も「わたしは漏らしてません。フィッシングサイトが悪いし騙されたユーザーさん気を付けてね」という話ですっきりすると思うのだが。

チェックツールとやら

ほんとに善意でチェックさせてあげたいなら"IDかEmail"だけ入れさせてgrepします的な感じのはあってもいいのかなと思うけど、PWを入れさせる必要はないよねと思うぐらいのリテラシーがないと、もうどうにもならないと思う。
それと、こういうのってどこからがフィッシングなのかね。

パスワード変更したほうがいいのはTwitterだけ?

みんななんだかんだいってパスワード使いまわしてるので、Email/PWでログインさせてるサービスは漏洩したアカウントが自分たちのサービスで使えて、不正なログインされる可能性があると考えた方が良い。
Emailで検索して、リセットを促すまでやる必要はないと思うけど、その人たちに「あなたは公開されているEmailを登録していますね。同じPW設定していませんか?しているなら変更をお勧めします」と忠告してあげるぐらいの気持ちがあってもいい。ただし、似たようなSpamとか流行っても困るかも。

特にTwitter連携なんてしちゃってるサービスに関しては
Twitterでこういうニュースがありました。本サービスではTwitterのPWを扱ってはおりませんが、同じPWつかってるとこうやって別のサービスから漏えいしたときに影響が出る可能性がありますほげほげ」
というぐらいのユーザー教育をしていただきたい。

TwitterのOAuthでログインさせてるサービスも、「TwitterのEmail/PWが第3者に渡ると本サービスまで乗っ取られる可能性がありますほげほげ」
というぐらいのユーザー教育をしていただきたい。

ほげほげというのは長くて推測しずらくて紙に書いて財布に入れとかなくてもよいやつを各サービス単位に別々に使えとかそんな感じですね。言い過ぎでしょうか。

書くの忘れておりました。
こんばんは, ritouです。
ではまた!