yaari.com からの招待状にご注意 71
ストーリー by Masafumi Otsune
他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら 部門より
他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら 部門より
mumumu 曰く、
recompile.net より。GmailやHotmailをお使いの方は、yaari.com と称するインド発なSNSからの招待メールがきた人がいると思う。このサイトにユーザー登録しようとすると、GmailまたはHotmailのパスワード入力を促される。実はこのサイト、入力されたメールアドレスとパスワードを利用してGmailやHotmailのコンタクトリストを盗み、盗んだメールアドレス全てに招待状を送信してしまうそうだ。こうして招待状を送信された人がまたGmailやHotmailのアドレスを持っていて登録をした場合、またコンタクトリストが盗まれてしまい、次の人へ、という連鎖が起こり現在広範囲で流行している模様だ。よって、仮にyaari.comからの招待状が届いた場合は、無視して破棄すべきである。また、間違って登録してしまった人は、コンタクトリストに登録されている人に注意を喚起するとともに、パスワードを変更することをお勧めする。
某メーリングリストにまで (スコア:5, 参考になる)
Xxxxx Xxxxx wants you to join Yaari!
Is Xxxxx your friend?
Please respond or Xxxxx might think you said no :(
Thanks,
The Yaari Team
----
幸いにも流れたのは内輪の方で、公開メーリングリストの方は HTML 禁止だったので止まりましたよ。
ふっ (スコア:0)
まあ他サービスのパスワードを聞く時点で登録する人がいるとは思えないんだけどね。
# ん?Gmail等で別accountのパスワードを登録して使ってるような人だとそうじゃない???
Re:ふっ (スコア:0)
そんな事をせずとも
「メールとパスワード登録してよ」 → Gmailのモノだけピックアップして試す
これで十分だと思うんだけどな
yaari.comについて (スコア:5, おもしろおかしい)
なんで、メールバラまき作戦は、マーケティングというか、運用ポリシーなのかなぁ、と。それはそれでチェンメが止まらず迷惑なのですが。
知り合いからのメールが危ない (スコア:4, 興味深い)
今回も似たようなケースなので、「知り合いからのメールでも疑ってかかりましょう」と、付け加えないと(いや、こっちが先?)いけませんね。
そういう意味では、メーリングリストだって「会員以外は投稿お断り」にしただけでは安心できません。HTMLはお断りとか、添付はお断りとかしておかないと。
#ビジネスでは、最近ますます添付が増えてきてる気がする。
Re:知り合いからのメールが危ない (スコア:1)
# ほんとうか?
旅に出ます.(バグを)探さないで下さい.
Re:知り合いからのメールが危ない (スコア:1, すばらしい洞察)
そんなわかりきったものに引っかかっている人達、笑って謝られても、もうどうしようもないね。
自分が被害広げているという認識がないんだねぇ、こういうひとたち。ちゃんと後始末しようとしないし。
大事なメールないからいいや程度で済まそうとするのは何様なんだか。
そういうシステムを放置している人たち、もたくさんいますが。
Re:yaari.comについて (スコア:1, すばらしい洞察)
>コンタクトリストに登録されている人に注意を喚起
で、注意喚起のチェンメが止まらない。
Re:yaari.comについて (スコア:0)
使用許諾の該当箇所 (スコア:5, 参考になる)
D) Privacyのところ
The Add Friends feature is an easy way for Yaari users to invite friends through email. The email address(es) that you supply to use this service will only be used to send invitations to connect with you on Yaari. By registering for the Yaari website, and by giving Yaari member's email address and password, a member agrees to the Terms of Service and consents to allow Yaari to automatically send an email from the member to member's contacts, encouraging member's contacts to register for the Yaari website. Invitation emails will be sent on member's behalf, with the 'from' address set as member's email address. Yaari will never store member's email password.
Yaariに加入すると自動的にemailを送るのに同意することになるんだって。
AVG anti-virus data base out of date
Re:使用許諾の該当箇所 (スコア:2, おもしろおかしい)
> 自主規制同好会入会受付中
yaari.comさんもお宅の同好会に入会させて、とんでもない使用許諾を自主規制させてください。
逆orz (スコア:4, おもしろおかしい)
Re:逆orz (スコア:0)
#SNSなんて会員制不正回覧サイトなんてさらに用無し(を
知り合い名義の招待状 (スコア:3, すばらしい洞察)
マヌケな注意不足な知り合いがいるってことですね。Re:知り合い名義の招待状 (スコア:5, おもしろおかしい)
Re:知り合い名義の招待状 (スコア:0)
余計なもの? (スコア:3, 興味深い)
…と思ったら、/.Jで見たのじゃなかったかも知れません。検索しても出て来ませんし。
という事で以前起きていた事件もリンクしておきます。
・スパムSNS? 「Quechup.com」の危険度 [atmarkit.co.jp](@IT)
・Quechupがなんだかすごい勢いで嫌われてる件 [h-yamaguchi.net](H-Yamaguchi.net)
#しかしこの時にさんざん叩かれていたのに、同じ事を繰り返すとこが出てきてその方に驚いた…。
#今でも件のサイトは健在なので「この手は、うちもイケる!」と思ったのかもしれませんが。
ID=メアド(オフトピ) (スコア:2, すばらしい洞察)
サイトって多いけど、サイト用のパスワードと
メール用のパスワードが同じ人って結構多そうだよね。
あれってそのうち問題にならないのかな。
もし何かあったら利用者の不注意で片付けられるのかな。
未来的な罠 (スコア:2, 興味深い)
Re:未来的な罠 (スコア:1)
でも、このパスワード、なんに使うつもりだろ?
M-FalconSky (暑いか寒い)
しかし (スコア:2, 興味深い)
パスワードって数パターンを使いまわしてる人って結構多いと思うんですよ。
最近は特に8文字以上英数字混在せよってところが増えてるし。そんなのいくつも覚えてられない。
その辺をデータベース化して利用できる他人のアカウントをどんどん増やすサイトって作れそうで怖い。
パスワードの預け方 (スコア:1)
やはり、パスワードの預け方の基準はサイトの信頼性によるのでしょうか。
ちなみに、私はハックされてもよいサービスのパスワードしか預けないことにしています。
旅に出ます.(バグを)探さないで下さい.
Re:パスワードの預け方 (スコア:2, 興味深い)
それと同時に「他サービスのパスワード」なんてグレーなものを求める
「目的と必然性」の確認も怠ってはなりませんね。
まあサイトの信頼性の要件に目的と必然性の説明責任も含んだ上での話かもしれませんが。
もっとも、そういう目的も必然性も、そもそも理解できないしようとしない、
そんな人達がたくさんいて、きっとネットのユーザーの大半を占めてるんでしょうけどね。
○○で(他アドレスのメール見るために)パスワード入れるのは良くて、
なんで yaari に入会するときは入れちゃダメなの?
(説明しても)なにそれ、理解不能、意味不明、おかしーんじゃない?
みたいな
Re:パスワードの預け方 (スコア:2, 興味深い)
> なんで yaari に入会するときは入れちゃダメなの?
むしろ、以前とは違って「ふむ、サイト間連携か、これがWeb2.0なんだな」と思ってしまう人が増えたような
Re:パスワードの預け方 (スコア:2)
パスワード預けるか? (スコア:1)
でも、世の中には、パスワード預けちゃって平気な人が結構いるみたいですね。
という、自分も、自分のノートにはパスワード預けまくりなので、紛失したら被害甚大か。
Re:パスワード預けるか? (スコア:1, すばらしい洞察)
生HTTP垂れ流しのこういうおばかな手口には引っかかると。
セキュリティはいつも人間ってのを改めて感じますね。
Re:パスワード預けるか? (スコア:1, すばらしい洞察)
「生HTTP垂れ流しのこういうおばかな手口」にハマる人たちを
どういう観点から同一人物だと見なしたのか興味深いです。
スラド住人のすべてがオレオレ証明書で騒いでわけじゃないし…
むしろ、このような手口に引っかかってしまった方々は
おそらくオレオレ証明書の件でも騒いでいないのでは。
Re:パスワード預けるか? (スコア:0)
Re:パスワードの預け方 (スコア:1, 参考になる)
素朴な疑問(完全におふとぴ) (スコア:1, 興味深い)
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
Re:素朴な疑問(完全におふとぴ) (スコア:1)
【パーフェクトコミニュケーション】
Re:素朴な疑問(完全におふとぴ) (スコア:1)
多分、今回の事件とは無関係な人たち。
Menachem Yaari [cruel.org],
Ehud Yaari [wikipedia.org].
Yet Another ARI かと、思った。ARIって何だ?
Re:素朴な疑問(完全におふとぴ) (スコア:4, 参考になる)
ともあった。こちらが本物か。
Re:素朴な疑問(完全におふとぴ) (スコア:1, おもしろおかしい)
ホイホイとパスワードを入れちゃったのだ。
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
--- show mpls ldp neighbor
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
ああっパスワードだからアスタリスクで表示されてしまうっ
Re:素朴な疑問(完全におふとぴ) (スコア:1)
zorpia.com (スコア:1, 参考になる)
海外サイトを回って見た感じyaari.comと同じようなサイトのようです。
私のメッセンジャーは100人超いるので、
しばらく話してない人なだけにものすごく怪しくてスルーしたのですが。
//私が引っ掛ったら・・・と考えるとオソロシイ
不正アクセス禁止法違反 (スコア:0)
Re:不正アクセス禁止法違反 (スコア:1, すばらしい洞察)
Re:不正アクセス禁止法違反 (スコア:1, すばらしい洞察)
そもそも日本じゃないし。
Yaariはもちろん、HotmailもGmailもね。
知り合いからだと騙されるんだろうなぁ・・・ (スコア:0)
でも、ウィルス対策では知り合いであろうと用心するのが当然なのですから、まぁおバカだったということで。
Re:知り合いからだと騙されるんだろうなぁ・・・ (スコア:1, すばらしい洞察)
怪しげな添付ファイル付きのメールだと差出人詐称を疑うのにSNSの招待では疑わないって、本質的に解ってない証拠だよね。
単に世間でそう言われてるから添付ファイル付きには気をつけてただけで、理解してたわけじゃない。
知人との世間話などのやり取りの中で「こんなSNS入ってるけど興味あるなら招待しようか?」って前振りがあったら登録するけど、何の前振りもなくいきなり送られてきたものなら、まず確認するよね。「なにこれ?」って。
メールについて啓蒙する側にもなにかしらの問題があったんだろう。
これから流行するんだろうなぁ (スコア:0)
Re:これから流行するんだろうなぁ (スコア:0)
SBケータイユーザーだったら (スコア:1)
今入会したら「Yahoo ポイントを1000ポイントプレゼント」とか書いておけば、
不用意なユーザーが・・・どうかなぁ。
モデレータは基本役立たずなの気にしてないよ
Re:これから流行するんだろうなぁ (スコア:1)
ただしそのパスワードを悪用できるかというと微妙。
Re:海外のSNSでは普通 (スコア:1)
Facebookは、ユーザーが好き勝手アプリを入れることが出来るんだけど、このアプリをいれたあとに「友達にも知らせよう」みたいな画面になって、普通は選択性なんだけど、これを一斉に送信するアプリがあって、さすがにこれは止めらました。