nabeshinによる
2008年03月12日 14時43分の掲載
サブツール選びは慎重に部門より
サブツール選びは慎重に部門より
Gmailアカウント×20 曰く、
Google Maniacsの記事「【らめぇ】ログイン情報を盗む極悪Gmail用ツール(しかも有償)の存在が発覚」によると、Gmailバックアップ用シェアウェア($29.95)のG-Archiverというソフトにおいて、ユーザーのアカウントとパスワードをプログラム作成者に送信する機能が隠されていたそうだ。ソースはGuardianの記事「Coding Horror — G-Archiver gathers Gmail names and passwords」、また大元の情報はCoding Horrorのblog記事「A Question of Programming Ethics」。記事によると、G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーディングされているのに気づき、そのアカウントにログインしてみたところ、1777個のGmailアカウント情報がそのアカウント宛メールとして受信されているのを発見したとのこと。
関連ストーリー
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
そもそもなぜ専用ソフトを探した? (スコア:2, 興味深い)
GmailのバックアップならメーラーでPOPかIMAPでサーバーにアクセスして
全ダウンロードすればいいような気がするのですが………何か特殊な機能があったんですかね?
Re:そもそもなぜ専用ソフトを探した? (スコア:2, 興味深い)
やり方をぐぐる→よくわからない→専用ソフトが見つかる→使う→噯呀ー!
親コメント
Re:そもそもなぜ専用ソフトを探した? (スコア:1, 興味深い)
ハードコーディングを見破る能力のある「一般ユーザ」だったという不思議。
親コメント
Re:そもそもなぜ専用ソフトを探した? (スコア:1)
…ってことは、くだんのソフトはhttpsじゃなくてhttpでアクセスしてたんでしょうか?ツメが甘いような…
親コメント
こっちはどうなの? (スコア:1, すばらしい洞察)
他人のアカウントとパスワードで勝手にログインしてるってことだよね?
Re:こっちはどうなの? (スコア:3, 興味深い)
ハードコーディングされていて、しかも新しいアカウント情報をG-Archiverに追加するたびに
そのユーザー名とパスワードをメールで送っているのに気づいたので、心配になって
ハードコードされた作者のアカウントにログインしてみた、とあります。
確かに自分のアカウント情報が勝手にメールで送信されていたら誰でも心配になりますが、
この場合他人のアカウント情報まで見てしまうことになるので、個人的には作者のアカウントで
勝手にログインするよりも、Googleに連絡して作者のアカウントをロックしてもらうとか、
他にするべきことがあったのではないかと思います。
親コメント
Re:こっちはどうなの? (スコア:2, すばらしい洞察)
(この件じゃないけど)犯人も逃げちゃうのでは?
悪いのをとっつかまえる方が完璧に潔白でなければならないという変な考えが進化して
被害者無視の加害者保護になってるんじゃないの?
親コメント
Re:こっちはどうなの? (スコア:1, すばらしい洞察)
でも。
「無罪の推定」を原則とする方を支持したいので推定有罪は懲罰を原則というのはイデオロギー的に従いたくないw
#男性でしたら「痴漢」「それでも僕は」で検索して、「女性に訴えられたら反論できない」という人以外なら語りあいたい。
親コメント
Re:こっちはどうなの? (スコア:1, 参考になる)
見ると、Googleに連絡してもいるようですが、キャプチャ取っただけじゃなくてメール全消しパスワード変更秘密の質問変更までしてるみたいですね。ちょっとやり過ぎな感じが。
親コメント
Re:こっちはどうなの? (スコア:1)
親コメント
Re:こっちはどうなの? (スコア:1)
ただし、メールを削除しなければ被害者(の少なくとも一部)には効果的に連絡するチャンスが
あったのに、それを潰してしまったとすれば残念だ。Gmail のシステム側にバックアップが
残っていれば問題ないけど。
親コメント
Re:こっちはどうなの? (スコア:1, 興味深い)
親コメント
Re:こっちはどうなの? (スコア:2, 興味深い)
節穴の目でGmailの利用規約を読んでみましたが該当する項目はなさそうです。
近いところでは、アカウント・パスワードは自分で管理してね、と書いてあるくらいでしょうか。
ので、処置を食らうとしたらプログラムの作成者の方かと。
他の人のアドレスが見えちゃったのは「ログインしてみた」人の罪にはならないかと。
ただの結果ですし。
親コメント
利用規約に書いてなくとも (スコア:2, 参考になる)
> 不正アクセス行為の具体的な例
> ・インターネットを通じて、ブラウザで認証用のページから他人のユーザー名とパスワードを勝手に使ってログインする行為。
#外国はしりませんが。
親コメント
Re:利用規約に書いてなくとも (スコア:2, 興味深い)
あるアカウントが誰のものかというのは、実は微妙な問題ではないでしょうか。
そのアカウントを最初に取得した人と考えればよいのでしょうか?
私がつかってる「.mac」のメールアカウントを、ある人が自分のものだと信じているようで、その人はどうやら単に自分がパスワードを忘れたんだと思ってるらしく、なんどもパスワード変更をしようとトライしているのです(「パスワードを本当に変更しますか? 」というシステムからの確認メールがしょっちゅうくる)。
その人は、知人などにそのアドレスを教えているらしく、その人あてのメールもよく来ます。
もしその人が偶然ログインに成功してしまったり、「パスワードを本当に変更しますか? 」という確認メールに私がうっかりOKしてしまったら、その人には悪意がなくてもアカウントがのっとられてしまうのだと思うと怖いです...
いやもちろん「.mac」の場合ならAppleが情報提供すれば最初にアカウントを取得したのが誰なのかはっきりしますが、もし無料のサービスなどで、個人情報をほとんど入力せずに(もしくは偽りの個人情報を入力して)取得したアカウントの場合、話は微妙になってくるような。
親コメント
Re:利用規約に書いてなくとも (スコア:1)
>当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
この場合は「当該識別符号に係る利用権者の承諾を得て」に該当するかもしれない。しないかもしれない。
例だけで判断するのは危険ですね。
親コメント
Re:こっちはどうなの? (スコア:1)
誘われたと認識するのは無理がある気がする。
親コメント
さてそれで (スコア:1)
Re:さてそれで (スコア:3, 参考になる)
「デバッグで使ってたんだけど、消すの忘れちゃってた。ごめんなさい」
だそうです。
親コメント
Re:さてそれで (スコア:1)
◆IZUMI162i6 [mailto]
Free or not Free, that is the question.
親コメント
Re:さてそれで (スコア:1)
- Project Prominence -
http://www.prominence.tv/
親コメント
Re:さてそれで (スコア:1, すばらしい洞察)
自分のメールアドレスには、G-Archiverからのメールがバンバン送られているのだから、
デバッグコードが残っていると言うことは、直ぐに気付くでしょう。
意図的にやっていたとしか思えん...
親コメント
Re:さてそれで (スコア:1)
デバッグに使ってそのあとそのアカウントは放置してただけ、という見方もできますよ。
親コメント
Re:さてそれで (スコア:2, すばらしい洞察)
親コメント
Re:さてそれで (スコア:3, 参考になる)
たぶんほとんどの人は自分のID・パスワードを作者に
送るよって書いてあっても、OKしますよ。
親コメント
Re:これはひどい…が (スコア:5, すばらしい洞察)
自分のアカウントにログインして自分宛にメール送れば、盗もうとするアカウントにはログが残らない。
親コメント
Re:これはひどい…が (スコア:2, 興味深い)
Gmailに対する処理以外のパケットが流れれば、それに気づく人もいるだろう。
しかし、Gmailを使って送れば、アクセス先はGmailだけであり、気づく可能性は低い。
Gmailに対して、利用者のアカウントとパスワードが含まれたパケットが送られても、それはログインの為にも必要な行為であり、疑問に思われないだろう。
親コメント
Re:これはひどい…が (スコア:2)
今回は,Gmailに使うアプリケーションがGmailに対して通信していたからこそ,
ソースレベルまで解析しないとわからなかったのではないかと思います。
親コメント
Re:何故に表面処理? (スコア:1)
親コメント
Re:タレコミ訂正 (スコア:1, おもしろおかしい)
親コメント
Re:「このソフトは無保証です」と書いてあったら (スコア:1)
親コメント