Masafumi Otsuneによる
2007年12月02日 6時24分の掲載
他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら部門より。
他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら部門より。
mumumu 曰く、
recompile.net より。GmailやHotmailをお使いの方は、yaari.com と称するインド発なSNSからの招待メールがきた人がいると思う。このサイトにユーザー登録しようとすると、GmailまたはHotmailのパスワード入力を促される。実はこのサイト、入力されたメールアドレスとパスワードを利用してGmailやHotmailのコンタクトリストを盗み、盗んだメールアドレス全てに招待状を送信してしまうそうだ。こうして招待状を送信された人がまたGmailやHotmailのアドレスを持っていて登録をした場合、またコンタクトリストが盗まれてしまい、次の人へ、という連鎖が起こり現在広範囲で流行している模様だ。よって、仮にyaari.comからの招待状が届いた場合は、無視して破棄すべきである。また、間違って登録してしまった人は、コンタクトリストに登録されている人に注意を喚起するとともに、パスワードを変更することをお勧めする。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
某メーリングリストにまで (スコア:5, 参考になる)
Xxxxx Xxxxx wants you to join Yaari!
Is Xxxxx your friend?
Please respond or Xxxxx might think you said no :(
Thanks,
The Yaari Team
----
幸いにも流れたのは内輪の方で、公開メーリングリストの方は HTML 禁止だったので止まりましたよ。
yaari.comについて (スコア:5, おもしろおかしい)
なんで、メールバラまき作戦は、マーケティングというか、運用ポリシーなのかなぁ、と。それはそれでチェンメが止まらず迷惑なのですが。
知り合いからのメールが危ない (スコア:4, 興味深い)
今回も似たようなケースなので、「知り合いからのメールでも疑ってかかりましょう」と、付け加えないと(いや、こっちが先?)いけませんね。
そういう意味では、メーリングリストだって「会員以外は投稿お断り」にしただけでは安心できません。HTMLはお断りとか、添付はお断りとかしておかないと。
#ビジネスでは、最近ますます添付が増えてきてる気がする。
親コメント
使用許諾の該当箇所 (スコア:5, 参考になる)
D) Privacyのところ
The Add Friends feature is an easy way for Yaari users to invite friends through email. The email address(es) that you supply to use this service will only be used to send invitations to connect with you on Yaari. By registering for the Yaari website, and by giving Yaari member's email address and password, a member agrees to the Terms of Service and consents to allow Yaari to automatically send an email from the member to member's contacts, encouraging member's contacts to register for the Yaari website. Invitation emails will be sent on member's behalf, with the 'from' address set as member's email address. Yaari will never store member's email password.
Yaariに加入すると自動的にemailを送るのに同意することになるんだって。
no response from me
Re:使用許諾の該当箇所 (スコア:2, おもしろおかしい)
> 自主規制同好会入会受付中
yaari.comさんもお宅の同好会に入会させて、とんでもない使用許諾を自主規制させてください。
親コメント
逆orz (スコア:4, おもしろおかしい)
知り合い名義の招待状 (スコア:3, すばらしい洞察)
マヌケな注意不足な知り合いがいるってことですね。Re:知り合い名義の招待状 (スコア:5, おもしろおかしい)
親コメント
余計なもの? (スコア:3, 興味深い)
…と思ったら、/.Jで見たのじゃなかったかも知れません。検索しても出て来ませんし。
という事で以前起きていた事件もリンクしておきます。
・スパムSNS? 「Quechup.com」の危険度 [atmarkit.co.jp](@IT)
・Quechupがなんだかすごい勢いで嫌われてる件 [h-yamaguchi.net](H-Yamaguchi.net)
#しかしこの時にさんざん叩かれていたのに、同じ事を繰り返すとこが出てきてその方に驚いた…。
#今でも件のサイトは健在なので「この手は、うちもイケる!」と思ったのかもしれませんが。
ID=メアド(オフトピ) (スコア:2, すばらしい洞察)
サイトって多いけど、サイト用のパスワードと
メール用のパスワードが同じ人って結構多そうだよね。
あれってそのうち問題にならないのかな。
もし何かあったら利用者の不注意で片付けられるのかな。
未来的な罠 (スコア:2, 興味深い)
しかし (スコア:2, 興味深い)
パスワードって数パターンを使いまわしてる人って結構多いと思うんですよ。
最近は特に8文字以上英数字混在せよってところが増えてるし。そんなのいくつも覚えてられない。
その辺をデータベース化して利用できる他人のアカウントをどんどん増やすサイトって作れそうで怖い。
パスワードの預け方 (スコア:1)
やはり、パスワードの預け方の基準はサイトの信頼性によるのでしょうか。
ちなみに、私はハックされてもよいサービスのパスワードしか預けないことにしています。
旅に出ます.(バグを)探さないで下さい.
Re:パスワードの預け方 (スコア:2, 興味深い)
それと同時に「他サービスのパスワード」なんてグレーなものを求める
「目的と必然性」の確認も怠ってはなりませんね。
まあサイトの信頼性の要件に目的と必然性の説明責任も含んだ上での話かもしれませんが。
もっとも、そういう目的も必然性も、そもそも理解できないしようとしない、
そんな人達がたくさんいて、きっとネットのユーザーの大半を占めてるんでしょうけどね。
○○で(他アドレスのメール見るために)パスワード入れるのは良くて、
なんで yaari に入会するときは入れちゃダメなの?
(説明しても)なにそれ、理解不能、意味不明、おかしーんじゃない?
みたいな
親コメント
Re:パスワードの預け方 (スコア:2, 興味深い)
> なんで yaari に入会するときは入れちゃダメなの?
むしろ、以前とは違って「ふむ、サイト間連携か、これがWeb2.0なんだな」と思ってしまう人が増えたような
親コメント
Re:パスワードの預け方 (スコア:2)
親コメント
素朴な疑問(完全におふとぴ) (スコア:1, 興味深い)
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
親コメント
Re:素朴な疑問(完全におふとぴ) (スコア:4, 参考になる)
ともあった。こちらが本物か。
親コメント
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
--- show mpls ldp neighbor
親コメント
Re:素朴な疑問(完全におふとぴ) (スコア:2, おもしろおかしい)
ああっパスワードだからアスタリスクで表示されてしまうっ
親コメント
zorpia.com (スコア:1, 参考になる)
海外サイトを回って見た感じyaari.comと同じようなサイトのようです。
私のメッセンジャーは100人超いるので、
しばらく話してない人なだけにものすごく怪しくてスルーしたのですが。
//私が引っ掛ったら・・・と考えるとオソロシイ
Re:不正アクセス禁止法違反 (スコア:1, すばらしい洞察)
親コメント
Re:知り合いからだと騙されるんだろうなぁ・・・ (スコア:1, すばらしい洞察)
怪しげな添付ファイル付きのメールだと差出人詐称を疑うのにSNSの招待では疑わないって、本質的に解ってない証拠だよね。
単に世間でそう言われてるから添付ファイル付きには気をつけてただけで、理解してたわけじゃない。
知人との世間話などのやり取りの中で「こんなSNS入ってるけど興味あるなら招待しようか?」って前振りがあったら登録するけど、何の前振りもなくいきなり送られてきたものなら、まず確認するよね。「なにこれ?」って。
メールについて啓蒙する側にもなにかしらの問題があったんだろう。
親コメント
Re:これから流行するんだろうなぁ (スコア:1)
ただしそのパスワードを悪用できるかというと微妙。
親コメント
SBケータイユーザーだったら (スコア:1)
今入会したら「Yahoo ポイントを1000ポイントプレゼント」とか書いておけば、
不用意なユーザーが・・・どうかなぁ。
eComStation 2.0 Silver Release (RC7) http://ewiki.ecomstation.nl/ecomstation20rc7whatsnew
親コメント
Re:海外のSNSでは普通 (スコア:1)
Facebookは、ユーザーが好き勝手アプリを入れることが出来るんだけど、このアプリをいれたあとに「友達にも知らせよう」みたいな画面になって、普通は選択性なんだけど、これを一斉に送信するアプリがあって、さすがにこれは止めらました。
親コメント